Vulnerabilidad en Softing Secure Integration Server, edgeConnector y edgeAggregator (CVE-2022-2336)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
17/08/2022
Última modificación:
22/08/2022
Descripción
Softing Secure Integration Server, edgeConnector y edgeAggregator son enviados con las credenciales de administrador por defecto como "admin" y la contraseña como "admin". Esto permite a Softing iniciar sesión en el servidor directamente para llevar a cabo funciones administrativas. Tras la instalación o el primer inicio de sesión, la aplicación no pide al usuario que cambie la contraseña "admin". No se presenta ninguna advertencia o aviso para pedir al usuario que cambie la contraseña por defecto, y para cambiar la contraseña, son requeridos muchos pasos.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:softing:edgeaggregator:3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:softing:edgeconnector:3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:softing:opc:5.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:softing:opc_ua_c\+\+_software_development_kit:6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:softing:secure_integration_server:1.22:*:*:*:*:*:*:* | ||
| cpe:2.3:a:softing:uagates:1.74:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página