Vulnerabilidad en Nozomi Networks Inc. (CVE-2024-12012)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

13/02/2025

Última modificación:

13/02/2025

Descripción

Se descubrió una vulnerabilidad CWE-598 “Uso del método de solicitud GET con cadenas de consulta confidenciales” que afectaba a la puerta de enlace TCP/IP 130.8005 con la versión de firmware 12h. Tanto el hash SHA-1 de la contraseña como los tokens de sesión se incluyen como parte de la URL y, por lo tanto, están expuestos a escenarios de fuga de información. Un atacante capaz de acceder a dichos valores (por ejemplo, el navegador de la víctima, inspección del tráfico de red) puede aprovechar esta vulnerabilidad para filtrar tanto el hash de la contraseña como los tokens de sesión y eludir el mecanismo de autenticación mediante un ataque de paso del hash.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.70 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.70

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://www.nozominetworks.com/labs/vulnerability-advisories-cve-2024-12012