Vulnerabilidad en protocolo de comunicación basado en XML en los puertos 5444/tcp y 5440/tcp en Control Center Server (CCS) (CVE-2019-18337)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

12/12/2019

Última modificación:

09/01/2024

Descripción

Se ha identificado una vulnerabilidad en Control Center Server (CCS) (Todas las versiones anteriores a V1.5.0). El Servidor de Control Center (CCS) contiene una vulnerabilidad de evasión de autenticación en su protocolo de comunicación basado en XML tal como se proporciona por defecto en los puertos 5444/tcp y 5440/tcp. Un atacante remoto con acceso a la red del servidor CCS podría aprovechar esta vulnerabilidad para leer la base de datos de usuarios de CCS, incluyendo las contraseñas de todos los usuarios en texto claro ofuscado

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno