Vulnerabilidad en ENC DataVault (CVE-2021-36751)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-345 Verificación insuficiente de autenticidad de los datos

Fecha de publicación:

02/01/2022

Última modificación:

13/12/2022

Descripción

ENC DataVault versión 7.1.1W, usa un algoritmo de encriptación inapropiado, de manera que un atacante (que no conoce la clave secreta) puede hacer modificaciones en el texto cifrado que son reflejadas en el texto plano modificado. No se presenta ningún mecanismo de integridad de los datos. (Este comportamiento es dado en las unidades USB que son vendidas bajo múltiples marcas).<br />

Impacto

Vector 3.x

CVSS:3.1/AV:P/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.20 MEDIA
Vector: CVSS:3.1/AV:P/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): Físico
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.20

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno