Vulnerabilidad en un servicio TELNET en la cuenta de administrador en los dispositivos Nescomed Multipara Monitor M1000 (CVE-2020-15482)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

26/08/2020

Última modificación:

21/07/2021

Descripción

Se detectó un problema en los dispositivos Nescomed Multipara Monitor M1000. El dispositivo habilita un servicio TELNET sin cifrar por defecto, con una contraseña en blanco para la cuenta de administrador. Esto permite a un atacante obtener acceso root al dispositivo a través de la red local

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.80

Gravedad 3.x

ALTA

Vector 2.0

AV:L/AC:L/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: AV:L/AC:L/Au:N/C:C/I:C/A:C

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo