Vulnerabilidad en Mimosa Client Radios (CVE-2017-9132)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-798 Credenciales embebidas en el software

Fecha de publicación:

21/05/2017

Última modificación:

20/04/2025

Descripción

Se detectó un problema de credenciales embebidas en Mimosa Client Radios anterior a versión 2.2.3, Mimosa Backhaul Radios anterior a versión 2.2.3, y Mimosa Access Points anterior a versión 2.2.3. Estos dispositivos ejecutan Mosquitto, un broker de mensajes de poco peso, para enviar información entre dispositivos. mediante el uso de las credenciales embebidas del proveedor para conectarse al broker en cualquier dispositivo (ya sea un modelo AP, Cliente o Backhaul), un atacante puede visualizar todos los mensajes que se envían entre los dispositivos. Si un atacante conecta con un AP, el AP filtrará la información sobre cualquier cliente conectado con él, incluyendo los números de serial, que puede ser usado para resetear de fábrica remotamente a los clientes por medio de una página en su interfaz Web.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno