Vulnerabilidad en la interfaz web HTTP en Hitachi Energy MSM (CVE-2021-40335)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
25/07/2022
Última modificación:
19/04/2023
Descripción
Se presenta una vulnerabilidad en la interfaz web HTTP en la que la interfaz web no comprueba suficientemente si una petición bien formada, válida y coherente fue proporcionada intencionalmente por el usuario que envió la petición. Esto causa una vulnerabilidad de tipo Cross Site Request Forgery (CSRF), que si es explotada podría conllevar a un atacante a obtener acceso no autorizado a la aplicación web y llevar a cabo una operación no deseada en ella sin el conocimiento del usuario legítimo. Un atacante, que logra que un usuario de MSM que ya ha establecido una sesión con la interfaz web de MSM haga clic en un enlace falsificado a la interfaz web de MSM, por ejemplo, el enlace es enviado por correo electrónico, podría llevar a cabo un comando dañino en MSM mediante su interfaz de servidor web. Este problema afecta a: Hitachi Energy MSM versiones V2.2 y versiones anteriores
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:hitachienergy:modular_switchgear_monitoring_firmware:*:*:*:*:*:*:*:* | 2.2.0 (incluyendo) | |
| cpe:2.3:h:hitachienergy:modular_switchgear_monitoring:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página