Vulnerabilidad en Velneo vClient (CVE-2021-45036)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
28/11/2022
Última modificación:
16/09/2024
Descripción
Velneo vClient en su versión 28.1.3 podría permitir que un atacante con conocimiento del nombre de usuario y la contraseña hash de la víctima falsifique la identificación de la víctima en el servidor.
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:velneo:vclient:28.1.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://doc.velneo.com/v/32/velneo-vserver/funcionalidades/protocolo-vatps
- https://doc.velneo.com/v/32/velneo/funcionalidades-comunes/conexion-con-velneo-vserver
- https://doc.velneo.com/v/32/velneo/notas-de-la-version#a-partir-de-esta-version-todos-los-servidores-arrancaran-con-protocolo-vatps
- https://doc.velneo.com/v/32/velneo/notas-de-la-version#mejoras-de-seguridad-en-validacion-de-usuario-y-contrasena
- https://velneo.es/mivelneo/listado-de-cambios-velneo-32/
- https://www.incibe.es/en/incibe-cert/notices/aviso/velneo-vclient-improper-authentication-0
- https://www.velneo.com/blog/disponible-la-nueva-version-velneo-32