Vulnerabilidad en Skyhigh SWG (CVE-2022-2310)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/07/2022
Última modificación:
15/11/2023
Descripción
Una vulnerabilidad de omisión de autenticación en Skyhigh SWG en las versiones principales 10.x anteriores a 10.2.12, 9.x anteriores a 9.2.23, 8.x anteriores a 8.2.28 y la versión controlada 11.x anteriores a 11.2.1, permite a un atacante remoto omitir la autenticación en la Interfaz de Usuario de administración. Esto es posible debido a que el SWG ha incluido incorrectamente en su lista blanca los métodos de omisión de la autenticación y ha usado una contraseña criptográfica débil. Esto puede conllevar a que el atacante entre en la interfaz de administración del SWG, sin credenciales válidas, como super usuario con control total sobre el SWG
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:skyhighsecurity:secure_web_gateway:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.2.28 (excluyendo) |
| cpe:2.3:a:skyhighsecurity:secure_web_gateway:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.2.23 (excluyendo) |
| cpe:2.3:a:skyhighsecurity:secure_web_gateway:*:*:*:*:*:*:*:* | 10.0.0 (incluyendo) | 10.2.12 (excluyendo) |
| cpe:2.3:a:skyhighsecurity:secure_web_gateway:*:*:*:*:*:*:*:* | 11.0.0 (incluyendo) | 11.2.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página