Vulnerabilidad en una petición para el puerto TCP 7510 en Iris usado en los sistemas de punto de venta (POS) de Xpient (CVE-2013-2571)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

28/01/2020

Última modificación:

06/02/2020

Descripción

Iris versión 3.8 anteriores al build 1548, como es usado en los sistemas de punto de venta (POS) de Xpient, permite a atacantes remotos ejecutar comandos arbitrarios por medio de una petición diseñada para el puerto TCP 7510, como es demostrado mediante la apertura de la caja de efectivo.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico