Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un HTTP API Method en American Dynamics victor Web Client y Software House C•CURE Web Client (CVE-2020-9049)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
19/11/2020
Última modificación:
04/12/2020

Descripción

Una vulnerabilidad en versiones específicas de American Dynamics victor Web Client y Software House C•CURE Web Client, podría permitir a un atacante no autenticado en la red crear y firmar su propio JSON Web Token y usarlo para ejecutar un HTTP API Method sin la necesidad de una autorización de autenticación. En determinadas circunstancias, un atacante podría usar esto para afectar la disponibilidad del sistema al conducir un ataque de Denegación de Servicio

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:johnsoncontrols:c-cure_web:*:*:*:*:*:*:*:* 2.90 (incluyendo)
cpe:2.3:a:johnsoncontrols:victor_web:*:*:*:*:*:*:*:* 5.6 (incluyendo)