Vulnerabilidad en el envío de una petición a una URL en la funcionalidad de mantenimiento del sistema remoto en la serie UNIVERGE SV9500 (CVE-2020-5686)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
13/01/2021
Última modificación:
21/01/2021
Descripción
Una implementación incorrecta del problema del algoritmo de autenticación en la serie UNIVERGE SV9500 desde versiones V1 hasta V7 y la serie SV8500 desde versiones S6 hasta S8, permite a un atacante acceder a la funcionalidad de mantenimiento del sistema remoto y obtener la información mediante el envío de una petición especialmente diseñada para una URL específica.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:nec:univerge_sv9500_firmware:*:*:*:*:*:*:*:* | v1 (incluyendo) | v7 (incluyendo) |
| cpe:2.3:h:nec:univerge_sv9500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:nec:univerge_sv8500_firmware:*:*:*:*:*:*:*:* | s6 (incluyendo) | s8 (incluyendo) |
| cpe:2.3:h:nec:univerge_sv8500:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página