Vulnerabilidad en el backend SITS en el controlador dedicado SITS:Vision de Tribal SITS (CVE-2019-19127)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-319 Transmisión de información sensible en texto claro

Fecha de publicación:

25/03/2020

Última modificación:

24/08/2020

Descripción

Una vulnerabilidad de omisión de autenticación está presente en el componente dedicado SITS:Vision versión 9.7.0 de Tribal SITS en su configuración predeterminada, relacionado con las comunicaciones no cifradas enviadas por el cliente cada vez que es iniciado. Esto se presenta porque el controlador Uniface TLS no está habilitado por defecto. Esta vulnerabilidad permite a atacantes conseguir acceso a credenciales o ejecutar consultas SQL arbitrarias en el backend de SITS siempre que tengan acceso al ejecutable del cliente o puedan interceptar el tráfico de un usuario que lo haga.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.10

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico