Vulnerabilidad en el directorio /Forms/ en dispositivos Tripp Lite PDUMH15AT. (CVE-2019-16261)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

12/09/2019

Última modificación:

21/03/2025

Descripción

Dispositivos Tripp Lite PDUMH15AT versión 12.04.0053, permiten peticiones POST no autenticadas en el directorio /Forms/, como es demostrado al cambiar el administrador o la contraseña de administrador, o al apagar la alimentación a una toma de corriente. NOTA: la posición del proveedor es que una versión de firmware más nueva, que corrige esta vulnerabilidad, ya había sido publicado antes de este reporte de vulnerabilidad alrededor de la versión 12.04.0053.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.10

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:P/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 8.50 ALTA
Vector: AV:N/AC:L/Au:N/C:N/I:P/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Completo