Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el mecanismo de autenticación en el código fuente HTML en la página de inicio de sesión en los dispositivos Comba AP2600-I (CVE-2019-15653)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-311 Ausencia de cifrado en información sensible
Fecha de publicación:
19/03/2020
Última modificación:
21/07/2021

Descripción

Los dispositivos Comba AP2600-I versiones hasta A02,0202N00PD2, son propensos a revelar contraseñas por medio de un mecanismo de autenticación no seguro. El código fuente HTML de la página de inicio de sesión contiene valores que permiten obtener el nombre de usuario y la contraseña. Los nombres de usuario son valores de contraseña que son un md5 doble del valor real de texto plano, es decir, md5(md5(valor)).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:comba:ap2600-i_-_a02_-_0202n00pd2_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:comba:ap2600-i_-_a02_-_0202n00pd2:-:*:*:*:*:*:*:*