Vulnerabilidad en Newgen OmniFlow Intelligent Business Process Suite (CVE-2018-17791)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-669 Transferencia incorrecta de recursos entre esferas

Fecha de publicación:

21/08/2019

Última modificación:

24/08/2020

Descripción

Newgen OmniFlow Intelligent Business Process Suite (iBPS) 7.0 tiene una vulnerabilidad de "validación incorrecta del lado del servidor" donde las validaciones del lado del cliente se alteran, y la información inapropiada se almacena en el lado del servidor y se obtiene del servidor cada vez que el usuario visita la D, creando confusión empresarial. En el peor de los casos, todos los recursos disponibles se consumen mientras se procesan los datos, lo que resulta en la falta de disponibilidad del servicio para usuarios legítimos. Esto ocurre porque los parámetros no editables pueden modificarse editando manualmente un campo de formulario deshabilitado dentro de las opciones del desarrollador.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico