Vulnerabilidad en Thompson Reuters UltraTax CS (CVE-2018-14607)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-311 Ausencia de cifrado en información sensible

Fecha de publicación:

26/07/2018

Última modificación:

14/02/2024

Descripción

Thompson Reuters UltraTax CS 2017 en Windows, en una configuración cliente/servidor, transfiere registros de clientes y números de cuentas bancarias en texto claro a través de SMBv2, lo que permite a los atacantes (1) obtener información confidencial rastreando la red o (2) realizar ataques Man-in-the-Middle (MitM) a través de vectores no especificados. El registro de cliente transferido en texto claro contiene: ID del cliente, nombre completo, nombre completo del cónyuge, número de seguro social, número de seguro social del cónyuge, ocupación, ocupación del cónyuge, teléfono diurno, teléfono particular, preparador de impuestos, impuestos federales y estatales a presentar, nombre del banco, número de cuenta bancaria y posiblemente otra información confidencial.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno