Vulnerabilidad en Zero Day Initiative (CVE-2025-2772)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-522 Credenciales insuficientemente protegidas

Fecha de publicación:

23/04/2025

Última modificación:

29/04/2025

Descripción

Vulnerabilidad de divulgación de información de credenciales insuficientemente protegidas en múltiples enrutadores de BEC Technologies. Esta vulnerabilidad permite a atacantes adyacentes a la red divulgar información confidencial sobre las instalaciones afectadas de enrutadores de BEC Technologies. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en /cgi-bin/tools_usermanage.asp. El problema se debe a la transmisión de una lista de usuarios y sus credenciales para su gestión en el lado del cliente. Un atacante puede aprovechar esta vulnerabilidad para divulgar las credenciales transportadas, lo que conlleva una mayor vulnerabilidad. Anteriormente, se denominó ZDI-CAN-25895.

Impacto

Vector 3.x

CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://www.zerodayinitiative.com/advisories/ZDI-25-185/