Vulnerabilidad en FACSChorus (CVE-2023-29062)
Severidad:
BAJA
Type:
CWE-287
Autenticación incorrecta
Fecha de publicación:
28/11/2023
Última modificación:
05/12/2023
Descripción
El sistema operativo que aloja la aplicación FACSChorus está configurado para permitir la transmisión de credenciales de usuario con hash tras la acción del usuario sin validar adecuadamente la identidad del recurso solicitado. Esto es posible mediante el uso de LLMNR, MBT-NS o MDNS y dará como resultado el envío de hashes NTLMv2 a una posición de entidad maliciosa en la red local. Posteriormente, estos hashes pueden atacarse mediante fuerza bruta y descifrarse si se utiliza una contraseña débil. Este ataque sólo se aplicaría a sistemas unidos a un dominio.
Impacto
Puntuación base 3.x
3.80
Severidad 3.x
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:bd:facschorus:5.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:bd:facschorus:5.1:*:*:*:*:*:*:* | ||
cpe:2.3:h:hp:hp_z2_tower_g9:-:*:*:*:*:*:*:* | ||
cpe:2.3:a:bd:facschorus:3.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:bd:facschorus:3.1:*:*:*:*:*:*:* | ||
cpe:2.3:h:hp:hp_z2_tower_g5:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página