Vulnerabilidad en aplicaciones de Android de Auto-Masking (CVE-2018-5401)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-319 Transmisión de información sensible en texto claro

Fecha de publicación:

08/10/2018

Última modificación:

09/10/2019

Descripción

Las aplicaciones de Android Auto-Maskin DCU 210E, RP-210E y Marine Pro Observer transmiten datos sensibles o críticos para la seguridad en texto claro en un canal de comunicación que puede ser rastreado por actores no autorizados. Los dispositivos transmiten la información de control de procesos mediante comunicaciones Modbus no cifradas. Impacto: un atacante puede explotar esta vulnerabilidad para observar información sobre configuraciones, opciones, qué sensores están presentes y en uso, y otro tipo de información para ayudar a manipular mensajes suplantados. Se requiere acceso a la red. Las versiones afectadas son las aplicaciones de Android Auto-Maskin DCU-210E RP-210E y Marine Pro Observer. Versiones anteriores a la 3.7 en ARMv7.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.90

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

4.30

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:auto-maskin:rp_210e_firmware:-:::::::*
cpe:2.3:h:arm:arm7::::::::		3.7 (excluyendo)
cpe:2.3:h:auto-maskin:rp_210e:-:::::::*
cpe:2.3:o:auto-maskin:dcu_210e_firmware:-:::::::*
cpe:2.3:h:arm:arm7::::::::		3.7 (excluyendo)
cpe:2.3:h:auto-maskin:dcu_210e:-:::::::*
cpe:2.3:a:auto-maskin:marine_pro_observer:-:::::android::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:o:auto-maskin:rp_210e_firmware:-:::::::*
cpe:2.3:h:arm:arm7::::::::		3.7 (excluyendo)
cpe:2.3:h:auto-maskin:rp_210e:-:::::::*
cpe:2.3:o:auto-maskin:dcu_210e_firmware:-:::::::*
cpe:2.3:h:arm:arm7::::::::		3.7 (excluyendo)
cpe:2.3:h:auto-maskin:dcu_210e:-:::::::*
cpe:2.3:a:auto-maskin:marine_pro_observer:-:::::android::

Vulnerabilidad en aplicaciones de Android de Auto-Masking (CVE-2018-5401)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información