Vulnerabilidad en la autenticación en Digi RealPort (CVE-2021-36767)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-916
Uso de hash de contraseña generado con esfuerzo computacional insuficiente
Fecha de publicación:
08/10/2021
Última modificación:
25/09/2023
Descripción
En Digi RealPort hasta la versión 4.10.490, la autenticación se basa en un mecanismo de desafío-respuesta que da acceso a la contraseña del servidor, lo que hace que la protección sea ineficaz. Un atacante puede enviar una solicitud no autenticada al servidor. El servidor responderá con una versión débilmente codificada de la contraseña de acceso al servidor. El atacante puede entonces descifrar este hash fuera de línea con el fin de iniciar sesión con éxito en el servidor
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:digi:realport:*:*:*:*:*:linux:*:* | 1.9-40 (incluyendo) | |
cpe:2.3:a:digi:realport:*:*:*:*:*:windows:*:* | 4.10.490 (incluyendo) | |
cpe:2.3:o:digi:connectport_ts_8\/16_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:digi:connectport_ts_8\/16:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:digi:connectport_lts_8\/16\/32_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:digi:connectport_lts_8\/16\/32:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:digi:passport_integrated_console_server_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:digi:passport_integrated_console_server:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:digi:cm_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:digi:cm:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:digi:portserver_ts_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:digi:portserver_ts:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:digi:portserver_ts_mei_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:digi:portserver_ts_mei:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:digi:portserver_ts_mei_hardened_firmware:*:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página