Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Thompson Reuters UltraTax CS (CVE-2018-14608)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-311 Ausencia de cifrado en información sensible
Fecha de publicación:
26/07/2018
Última modificación:
14/02/2024

Descripción

Thompson Reuters UltraTax CS 2017 en Windows tiene una opción de protección con contraseña; sin embargo, el nivel de protección puede ser inconsistente con las expectativas de algunos clientes porque los datos son directamente accesibles en texto claro. De manera específica, almacena los datos de los clientes en directorios únicos (%install_path%\WinCSI\UT17DATA\client_ID\file_name.XX17) que pueden omitirse sin autenticación examinando las cadenas del archivo .XX17. Las cadenas almacenadas en el archivo .XX17 contienen la siguiente información de cada cliente: Nombre completo, nombre del cónyuge, número de seguro social, fecha de nacimiento, ocupación, domicilio, número de teléfono diurno, número de teléfono particular, dirección del cónyuge, número de teléfono diurno del cónyuge, número de seguro social del cónyuge, número de teléfono particular del cónyuge, ocupación del cónyuge, fecha de nacimiento del cónyuge y estado civil del cónyuge.

Impacto

Vector 3.x
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:thomsonreuters:ultratax_cs:2017:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información