Vulnerabilidad en MQTT de PcVue (CVE-2025-4384)

Gravedad CVSS v4.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

06/05/2025

Última modificación:

07/05/2025

Descripción

El complemento MQTT de PcVue no verifica que el certificado de un dispositivo remoto no haya caducado o no sea válido. Esto permite que dispositivos maliciosos presenten certificados que no se rechazan correctamente. El uso de un certificado de cliente reduce el riesgo de que dispositivos aleatorios se aprovechen de esta vulnerabilidad.

Impacto

Vector 4.0

CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/AU:N/R:U/RE:M/U:Green CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.00 MEDIA
Vector: CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/AU:N/R:U/RE:M/U:Green

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Automatable (AU): No
Recovery (R): Usuario
Vulnerability Response Effort (RE): Moderate
Provider Urgency (U): Verde

Puntuación base 4.0

6.00

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://www.pcvue.com/security/#SB2025-3