Vulnerabilidad en Sophos Endpoint Protection (CVE-2018-9233)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-916
Uso de hash de contraseña generado con esfuerzo computacional insuficiente
Fecha de publicación:
05/04/2018
Última modificación:
03/10/2019
Descripción
Sophos Endpoint Protection 10.7 emplea un hash SHA-1 sin sal para almacenar contraseñas en %PROGRAMDATA%\Sophos\Sophos Anti-Virus\Config\machine.xml. Esto facilita que los atacantes determinen una contraseña en texto claro y, por lo tanto, elijan configuraciones para malware inseguras mediante tablas rainbow u otros métodos.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:sophos:endpoint_protection:10.7:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página