Vulnerabilidad en BMC Remedy (CVE-2018-19505)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

03/01/2019

Última modificación:

15/02/2019

Descripción

En la versión 7.1 de BMC Remedy, Remedy AR System Server podría no lograr establecer el contexto de usuario correcto en determinados escenarios de suplantación, lo que podría permitir a un usuario actuar con la identidad de otro usuario debido a que userdata.js en el componente WOI:WorkOrderConsole permite una sustitución del nombre de usuario que implica una llamada UserData_Init.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno