Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en OpenText Brava! Enterprise and Brava! Server (CVE-2019-12270)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/05/2019
Última modificación:
24/08/2020

Descripción

OpenText Brava! Enterprise and Brava! Server 7.5 hasta 16.4 configura permisos excesivos por defecto en Windows. Durante la instalación, un recurso compartido de archivos displaylistcache es creado en el servidor de Windows con permisos completos de lectura y escritura para el grupo Everyone, tanto en los niveles NTFS como Share. La partición se usa para recuperar documentos para su procesamiento y para almacenar documentos procesados ??para visualizarlos en el navegador. El único acceso de nivel compartido requerido es de lectura /escritura por la cuenta de servicio JobProcessor. En el nivel local filesystem, los únicos permisos adicionales necesarios serían los de lectura /escritura desde el motor servlet, como Tomcat. (Los componentes del servidor afectados no se instalan con Content Server por defecto y deben instalarse separadamente). NOTA: la posición del proveedor es que los clientes no deben usar esta configuración predeterminada sin consultar la documentación.

Impacto

Vector 3.x
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.40 ALTA
Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:opentext:brava\!:*:*:*:*:*:*:*:* 7.5 (incluyendo) 16.4 (incluyendo)
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información