Vulnerabilidad en SICK SIM2000ST (CVE-2022-27584)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

01/11/2022

Última modificación:

06/05/2025

Descripción

Vulnerabilidad de recuperación de contraseña en SICK SIM2000ST Partnumber 1080579 permite que un atacante remoto sin privilegios obtenga acceso al nivel de usuario definido como RecoverableUserLevel invocando el método del mecanismo de recuperación de contraseña. Esto conduce a un aumento de sus privilegios en el sistema y, por lo tanto, afecta la integridad de la confidencialidad y la disponibilidad del sistema. Un atacante puede esperar un éxito repetible si explota la vulnerabilidad. Las versiones de firmware &lt;=1.7.0 permiten deshabilitar opcionalmente la configuración del dispositivo a través de las interfaces de red. Asegúrese de aplicar prácticas de seguridad generales al operar el SIM2000ST. Se planea una solución, pero aún no está programada.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto