Vulnerabilidad en Lumada APM (CVE-2022-2155)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/01/2023
Última modificación:
07/11/2023
Descripción
Existe una vulnerabilidad en las versiones afectadas de la función User Asset Group de Lumada APM debido a un fallo en la implementación del mecanismo de control de acceso en el “Limited Engineer” rol, otorgándole acceso a la característica de informes integrados de Power BI. Un atacante que logre explotar la vulnerabilidad en Lumada APM de un cliente podría acceder a información no autorizada obteniendo acceso no autorizado a cualquier informe de Power BI instalado por el cliente. Además, la vulnerabilidad permite a un atacante manipular comentarios sobre problemas de activos, que no deberían estar disponibles para el atacante. Versiones afectadas: <br />
* Lumada APM versión local 6.0.0.0 - 6.4.0.* Lista de CPE: * cpe:2.3:a:hitachienergy:lumada_apm:6.0.0.0:*:*:*:*:*:*:* * cpe:2.3:a:hitachienergy:lumada_apm:6.1.0.0:*:*:*:*:*:*:* * cpe:2.3:a:hitachienergy:lumada_apm:6.2.0.0:*:*:*:* :*:*:* * cpe:2.3:a:hitachienergy:lumada_apm:6.3.0.0:*:*:*:*:*:*:* * cpe:2.3:a:hitachienergy:lumada_apm:6.4.0.0:* :*:*:*:*:*:*
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hitachienergy:lumada_asset_performance_management:*:*:*:*:on-premises:*:*:* | 6.0.0.0 (incluyendo) | 6.4.0.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página