Vulnerabilidad en Digi (CVE-2025-3659)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
12/05/2025
Última modificación:
13/05/2025
Descripción
Se identificó un manejo incorrecto de la autenticación en un conjunto de solicitudes HTTP POST que afectan a las siguientes familias de productos: * Digi PortServer TS: anterior a 82000747_AA incluida, fecha de compilación 17/06/2022 * Digi One SP/Digi One SP IA/Digi One IA: anterior a 82000774_Z incluida, fecha de compilación 19/10/2020 * Digi One IAP: anterior a 82000770 Z incluida, fecha de compilación 19/10/2020 Una solicitud POST especialmente manipulada para la interfaz web del dispositivo puede permitir que un atacante no autenticado modifique los ajustes de configuración.
Impacto
Puntuación base 4.0
9.40
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://hub.digi.com/support/products/infrastructure-management/digi-one-iap-haz/
- https://hub.digi.com/support/products/infrastructure-management/digi-one-sp-ia/
- https://hub.digi.com/support/products/infrastructure-management/digi-portserver-ts/
- https://www.digi.com/getattachment/Resources/Security/Alerts/Improper-authentication-handling-for-Digi-PortServ/improper-authentication-handling.pdf