Vulnerabilidad en Winbox de MikroTik RouterOS (CVE-2024-54772)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

11/02/2025

Última modificación:

24/02/2025

Descripción

Se descubrió un problema en el servicio Winbox de MikroTik RouterOS v6.43 a v7.16.1 versiones v6.43.13 hasta v6.49.13 y estables desde v6.43 hasta v7.17.2. Hay disponible un parche en la versión estable v6.49.18. Una discrepancia en el tamaño de respuesta entre los intentos de conexión realizados con un nombre de usuario válido y aquellos con un nombre de usuario no válido permite a los atacantes realizar una enumeración de cuentas válidas.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.40

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/deauther890/CVE-2024-54772