Vulnerabilidad en La aplicación Emerson DeltaV Smart Switch Command Center (CVE-2018-11691)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-798 Credenciales embebidas en el software

Fecha de publicación:

14/05/2019

Última modificación:

10/02/2020

Descripción

La aplicación Emerson DeltaV Smart Switch Command Center, disponible en las versiones 11.3.xy 12.3.1, no pudo cambiar la contraseña de administración de DeltaV Smart Switches al momento de la puesta en servicio. Emerson lanzó parches para las estaciones de trabajo DeltaV para abordar este problema, y los parches se pueden descargar desde el Portal de Soporte Guardian de Emerson. Consulte la Notificación de seguridad DeltaV DSN19003 (KBA NK-1900-0808) para obtener más información sobre este problema. Las versiones 13.3 y posteriores de DeltaV usan la aplicación Centro de comando de dispositivos de red para administrar los conmutadores inteligentes DeltaV, y esta nueva aplicación no se ve afectada por este problema. Después de reparar el Smart Switch Command Center, los usuarios deben comisionar los DeltaV Smart Switches o cambiar la contraseña con la herramienta.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 10.00 ALTA
Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo