Vulnerabilidad en Inateck WP1001 (CVE-2019-12505)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

07/06/2019

Última modificación:

24/08/2020

Descripción

Debido a la comunicación de datos no cifrada y no autenticada, el presentador inalámbrico Inateck versión WP1001 v1.3C es propenso a los ataques de inyección de pulsaciones de teclas (keystroke injection). Por lo tanto, un atacante puede enviar pulsaciones arbitrarias al sistema informático de la víctima, por ejemplo, para instalar malware cuando el sistema de destino está desatendido. De esta manera, un atacante puede tomar el control remoto de la computadora de la víctima que se opera con un receptor afectado de este dispositivo.

Impacto

Vector 3.x

CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Vector 2.0

AV:A/AC:L/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 8.30 ALTA
Vector: AV:A/AC:L/Au:N/C:C/I:C/A:C

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo