Vulnerabilidad en Reader de HID Global DigitalPersona (CVE-2019-13604)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-327 Uso de algoritmo criptográfico vulnerable o inseguro

Fecha de publicación:

15/07/2019

Última modificación:

24/08/2020

Descripción

Existe una vulnerabilidad de clave corta en U.are.U 4500 Fingerprint Reader versión 24 de HID Global DigitalPersona (anteriormente Crossmatch). La clave para ofuscar la imagen de la huella dactilar es vulnerable a ataques de fuerza bruta. Esto permite a un atacante recuperar la clave y descifrar esa imagen usando la clave. La explotación con éxito causa un filtrado de información biométrica confidencial.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.90

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno