Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Cisco Spark Hybrid Calendar Service (CVE-2017-12310)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-319 Transmisión de información sensible en texto claro
Fecha de publicación:
27/03/2018
Última modificación:
09/10/2019

Descripción

Una vulnerabilidad en la fase de descubrimiento de Cisco Spark Hybrid Calendar Service podría permitir a un atacante remoto no autenticado visualizar información sensible en las cabeceras no cifradas de una petición HTTP method. El atacante podría utilizar esta información para realizar ataques adicionales de reconocimiento que den lugar a la revelación de datos sensibles de clientes. La vulnerabilidad existe en la fase de autodescubrimiento debido a que se realiza una petición HTTP no cifrada por requisitos de implementación del servicio Hybrid Calendar. Un atacante podría explotar esta vulnerabilidad monitorizando el tráfico no cifrado de la red. Un exploit podría permitir que el atacante acceda a datos sensibles de clientes que pertenecen a usuarios de Office365 como correos electrónicos y eventos de calendario. Cisco Bug IDs: CSCvg35593.

Impacto

Vector 3.x
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cisco:spark_hybrid_calendar_service:*:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información