Vulnerabilidad en el instalador FSX / P3Dv4 para Flight Sim Labs A320-X (CVE-2018-7259)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-319 Transmisión de información sensible en texto claro

Fecha de publicación:

20/02/2018

Última modificación:

07/11/2023

Descripción

El instalador FSX / P3Dv4, en su versión 2.0.1.231, para Flight Sim Labs A320-X envía las credenciales de la cuenta de Google a http://installLog.flightsimlabs.com/LogHandler3.ashx si se ha introducido un número de serie pirateado. Esto permite que atacantes remotos obtengan información sensible, por ejemplo, rastreando la red en busca de tráfico HTTP en texto claro. Este comportamiento fue eliminado en la versión 2.0.1.232.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno