Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en U.motion Builder de Schneider Electric (CVE-2017-9956)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-798 Credenciales embebidas en el software
Fecha de publicación:
26/09/2017
Última modificación:
20/04/2025

Descripción

Existe una vulnerabilidad de omisión de autenticación en las versiones 1.2.1 y anteriores del software de U.motion Builder de Schneider Electric en la que el sistema contiene una sesión válida embebida. Un atacante podría utilizar ese ID de sesión como parte de la cookie HTTP de una petición web, resultando en una omisión de autenticación.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:schneider-electric:u.motion_builder:*:*:*:*:*:*:*:* 1.2.1 (incluyendo)