Vulnerabilidad en el uso de un hash de contraseña en QSAN Storage Manager, XEVO, SANOS (CVE-2021-32519)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-916 Uso de hash de contraseña generado con esfuerzo computacional insuficiente

Fecha de publicación:

07/07/2021

Última modificación:

20/09/2021

Descripción

La vulnerabilidad del uso del hash de la contraseña con un esfuerzo computacional insuficiente en QSAN Storage Manager, XEVO, SANOS permite a los atacantes remotos recuperar la contraseña de texto plano mediante la fuerza bruta del hash MD5. La vulnerabilidad referida ha sido resuelta con la versión actualizada de QSAN Storage Manager v3.3.2, QSAN XEVO v2.1.0, y QSAN SANOS v2.1.0

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

5.00

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:qsan:sanos::::::::		2.1.0 (excluyendo)
cpe:2.3:a:qsan:storage_manager::::::::		3.3.2 (excluyendo)
cpe:2.3:a:qsan:xevo::::::::		2.1.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://www.twcert.org.tw/tw/cp-132-4875-692f0-1.html