Vulnerabilidad en BlueCat Device Registration Portal 2.2 (CVE-2023-23595)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
15/01/2023
Última modificación:
08/04/2025
Descripción
BlueCat Device Registration Portal 2.2 permite ataques XXE que filtran archivos de una sola línea. Un archivo de una sola línea puede contener credenciales, como "machine example.com login daniel password qwerty" en el ejemplo de documentación para el formato de archivo .netrc. NOTA: Las versiones 2.x ya no son compatibles. No hay información disponible sobre si alguna versión posterior se ve afectada.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:bluecatnetworks:device_registration_portal:2.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bluecatnetworks.com/integrations/adaptive-application/device-registration-portal-drp/
- https://everything.curl.dev/usingcurl/netrc
- https://github.com/colemanjp/XXE-Vulnerability-in-Bluecat-Device-Registration-Portal-DRP
- https://bluecatnetworks.com/integrations/adaptive-application/device-registration-portal-drp/
- https://everything.curl.dev/usingcurl/netrc
- https://github.com/colemanjp/XXE-Vulnerability-in-Bluecat-Device-Registration-Portal-DRP