Vulnerabilidad en los Initial Sequence Numbers (ISN) para conexiones TCP en Nucleus NET, Nucleus ReadyStart para ARM, MIPS y PPC (CVE-2020-28388)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/02/2021
Última modificación:
08/08/2023
Descripción
Se ha identificado una vulnerabilidad en Capital VSTAR (Todas las versiones), Nucleus NET (Todas las versiones anteriores a V5.2), Nucleus ReadyStart V3 (Todas las versiones anteriores a V2012.12), Nucleus Source Code (Todas las versiones), PLUSCONTROL 1st Gen (Todas las versiones). Los números de secuencia iniciales (ISN) para las conexiones TCP se derivan de una fuente insuficientemente aleatoria. Como resultado, el ISN de las conexiones TCP actuales y futuras podría ser predecible. Un atacante podría secuestrar las sesiones existentes o falsificar las futuras
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:siemens:capital_vstar:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:siemens:nucleus_net:*:*:*:*:*:*:*:* | 5.2 (excluyendo) | |
| cpe:2.3:a:siemens:nucleus_source_code:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:siemens:pluscontrol_1st_gen:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:siemens:nucleus_readystart:*:*:*:*:*:*:*:* | 2012.12 (excluyendo) | |
| cpe:2.3:h:arm:arm:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:mips:mips:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:powerpc_project:powerpc:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página