Vulnerabilidad en Securifi Almond, Almond + y Almond 2015 (CVE-2017-8328)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
18/06/2019
Última modificación:
21/06/2019
Descripción
Se descubrió un problema en los dispositivos Securifi Almond, Almond + y Almond 2015 con firmware AL-R096. El dispositivo proporciona a un usuario la capacidad de cambiar la contraseña administrativa para la interfaz de administración web. Parece que el dispositivo no implementa ningún mecanismo de protección de falsificación de solicitud entre sitios que permita a un atacante engañar a un usuario que ha iniciado sesión en la interfaz de administración web para cambiar la contraseña de un usuario. También este es un problema sistémico.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:securifi:almond_2015_firmware:al-r096:*:*:*:*:*:*:* | ||
| cpe:2.3:h:securifi:almond_2015:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:securifi:almond\+firmware:al-r096:*:*:*:*:*:*:* | ||
| cpe:2.3:h:securifi:almond\+:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:securifi:almond_firmware:al-r096:*:*:*:*:*:*:* | ||
| cpe:2.3:h:securifi:almond:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página