Vulnerabilidad en los intentos fallidos de inicio de sesión de la Interfaz de Usuario web en AvertX Auto focus Night Vision HD Indoor/Outdoor IP Dome Camera HD838 y Night Vision HD Indoor/Outdoor Mini IP Bullet Camera HD438 (CVE-2020-11625)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/07/2020
Última modificación:
29/07/2020
Descripción
Se detectó un problema en AvertX Auto focus Night Vision HD Indoor/Outdoor IP Dome Camera HD838 y Night Vision HD Indoor/Outdoor Mini IP Bullet Camera HD438. Los intentos fallidos de inicio de sesión de la Interfaz de Usuario web provocan respuestas diferentes dependiendo de si existe una cuenta de usuario. Debido a que las respuestas indican si un nombre de usuario enviado es válido o no, facilitando la identificación de nombres de usuario legítimos. Si una petición de inicio de sesión es enviada a ISAPI/Security/sessionLogin/capabilities usando un nombre de usuario que existe, devolverá el valor de la sal dado a ese nombre de usuario, inclusive si la contraseña es incorrecta. Sin embargo, si una petición de inicio de sesión es enviada utilizando un nombre de usuario que no está presente en la base de datos, devolverá un valor de sal vacío. Esto permite a atacantes enumerar nombres de usuario legítimos, facilitando ataques de fuerza bruta. NOTA: esto es diferente de CVE-2020-7057
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:avertx:hd838_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:avertx:hd838:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:avertx:hd438_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:avertx:hd438:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página