Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en los datos de protocolo RFB en los servidores VNC en RealVNC Viewer (CVE-2021-41380)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
17/09/2021
Última modificación:
04/08/2024

Descripción

** EN DISPUTA ** RealVNC Viewer 6.21.406 permite que los servidores VNC remotos provoquen una denegación de servicio (caída de la aplicación) a través de datos de protocolo RFB manipulados. NOTA: Se afirma que este problema requiere ingeniería social para que un usuario se conecte a un servidor VNC falso. La aplicación VNC Viewer que están utilizando se colgará, hasta que se termine, pero no se produce ninguna fuga de memoria - los recursos se liberan una vez que el proceso colgado se termina y el uso de recursos es constante durante el cuelgue. Sólo el proceso que está conectado al falso servidor se ve afectado. Esto es un error de la aplicación, no un problema de seguridad

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Vector 2.0
AV:N/AC:M/Au:N/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:realvnc:vnc_viewer:6.21.406:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información