Vulnerabilidad en Revive Adserver (CVE-2016-9124)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

28/03/2017

Última modificación:

20/04/2025

Descripción

Revive Adserver en versiones anteriores a 3.2.3. sufre de restricción incorrecta de intentos de autenticación excesiva. La página de inicio de sesión de Revive Adserver es vulnerable a los ataques de detección de contraseña. Una característica de bloqueo de cuenta ha sido considerada, pero se rechazó para evitar la introducción de interrupciones del servicio a usuarios regulares durante dichos ataques. Un retraso aleatorio se ha introducido como una contramedida en caso de fallos de contraseña, junto con un sistema para desalentar el forzamiento bruto paralelo. Estos sistemas permitirán efectivamente que los usuarios válidos inicien sesión en el adserver, incluso mientras un ataque está en progreso.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno