Vulnerabilidad en management console de Absolute Secure Access (CVE-2024-40875)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

20/12/2024

Última modificación:

20/12/2024

Descripción

Existe una vulnerabilidad de cross site scripting en management console de Absolute Secure Access anterior a la versión 13.52. Los atacantes con permisos de administrador del sistema pueden interferir con el uso de la consola de administración por parte de otro administrador del sistema cuando el segundo administrador inicia sesión. La complejidad del ataque es alta, existen requisitos de ataque, se requieren muchos privilegios y no se requiere interacción del usuario. El impacto en la confidencialidad es nulo, el impacto en la disponibilidad es bajo y el impacto en la integridad del sistema es alto.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:H/AT:P/PR:H/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:H/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

5.90

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://www.absolute.com/platform/security-information/vulnerability-archive/secure-access-1352/