Vulnerabilidad en los hashes de las contraseñas almacenadas en Desigo DXR2, Desigo PXC3, Desigo PXC4, Desigo PXC5 (CVE-2022-24041)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-916
Uso de hash de contraseña generado con esfuerzo computacional insuficiente
Fecha de publicación:
10/05/2022
Última modificación:
06/10/2022
Descripción
Se ha identificado una vulnerabilidad en Desigo DXR2 (Todas las versiones anteriores a V01.21.142.5-22), Desigo PXC3 (Todas las versiones anteriores a V01.21.142.4-18), Desigo PXC4 (Todas las versiones anteriores a V02.20.142.10-10884), Desigo PXC5 (Todas las versiones anteriores a V02.20.142.10-10884). La aplicación web almacena la clave derivada PBKDF2 de las contraseñas de los usuarios con un bajo número de iteraciones. Un atacante con privilegios de acceso al perfil de usuario puede recuperar los hashes de las contraseñas almacenadas de otras cuentas y luego realizar con éxito un ataque de cracking offline y recuperar las contraseñas en texto plano de otros usuarios
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:siemens:desigo_pxc5_firmware:*:*:*:*:*:*:*:* | 02.20.142.10-10884 (excluyendo) | |
| cpe:2.3:h:siemens:desigo_pxc5:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:siemens:desigo_pxc4_firmware:*:*:*:*:*:*:*:* | 02.20.142.10-10884 (excluyendo) | |
| cpe:2.3:h:siemens:desigo_pxc4:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:siemens:desigo_pxc3_firmware:*:*:*:*:*:*:*:* | 01.21.142.4-18 (excluyendo) | |
| cpe:2.3:h:siemens:desigo_pxc3:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:siemens:desigo_dxr2_firmware:*:*:*:*:*:*:*:* | 01.21.142.5-22 (excluyendo) | |
| cpe:2.3:h:siemens:desigo_dxr2:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página