Vulnerabilidad en el certificado X.509 en la funcionalidad Web Services Management Agent (WSMA) de Industrial Network Director (IND) de Cisco (CVE-2019-1940)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-295 Validación incorrecta de certificados

Fecha de publicación:

17/07/2019

Última modificación:

29/10/2021

Descripción

Una vulnerabilidad en la funcionalidad Web Services Management Agent (WSMA) de Industrial Network Director (IND) de Cisco, podría permitir a un atacante remoto no autenticado conseguir acceso de lectura no autorizado a datos confidenciales utilizando un certificado X.509 no válido. La vulnerabilidad es debido a la comprobación insuficiente del certificado X.509 al establecer una conexión WSMA. Un atacante podría explotar esta vulnerabilidad al proporcionar un certificado X.509 diseñado durante la fase de configuración de la conexión WSMA. Una explotación con éxito podría permitir al atacante conducir ataques de tipo man-in-the-middle para descifrar información confidencial en las conexiones WSMA en el software afectado. Al momento de la publicación, esta vulnerabilidad afectó al Software IND de Cisco versiones anteriores a 1.7.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.90

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno