Vulnerabilidad en la contraseña SSH de root en los dispositivos Victure WR1200 (CVE-2021-43284)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-798 Credenciales embebidas en el software

Fecha de publicación:

30/11/2021

Última modificación:

03/12/2021

Descripción

Se ha detectado un problema en los dispositivos Victure WR1200 versiones hasta 1.0.3. La contraseña SSH de root nunca es actualizada desde su valor por defecto de admin. Esto permite a un atacante conseguir el control del dispositivo mediante SSH (independientemente de que la contraseña de administrador haya sido cambiada en la interfaz web)

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.80

Gravedad 3.x

ALTA

Vector 2.0

AV:L/AC:L/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: AV:L/AC:L/Au:N/C:C/I:C/A:C

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo