Vulnerabilidad en la funcionalidad de inicio de sesión en múltiples productos Desigo (CVE-2022-24043)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/05/2022
Última modificación:
01/06/2022
Descripción
Se ha identificado una vulnerabilidad en Desigo DXR2 (Todas las versiones anteriores a V01.21.142.5-22), Desigo PXC3 (Todas las versiones anteriores a V01.21.142.4-18), Desigo PXC4 (Todas las versiones anteriores a V02.20.142.10-10884), Desigo PXC5 (Todas las versiones anteriores a V02.20.142.10-10884). La funcionalidad de inicio de sesión de la aplicación falla al normalizar los tiempos de respuesta de los intentos de inicio de sesión llevados a cabo con nombres de usuario erróneos con los ejecutados con nombres de usuario correctos. Un atacante remoto no autenticado podría explotar esta información del canal lateral para llevar a cabo un ataque de enumeración de nombres de usuario e identificar nombres de usuario válidos
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:siemens:desigo_dxr2_firmware:*:*:*:*:*:*:*:* | 01.21.142.5-22 (excluyendo) | |
| cpe:2.3:h:siemens:desigo_dxr2:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:siemens:desigo_pxc3_firmware:*:*:*:*:*:*:*:* | 01.21.142.4-18 (excluyendo) | |
| cpe:2.3:h:siemens:desigo_pxc3:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:siemens:desigo_pxc4_firmware:*:*:*:*:*:*:*:* | 02.20.142.10-10884 (excluyendo) | |
| cpe:2.3:h:siemens:desigo_pxc4:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:siemens:desigo_pxc5_firmware:*:*:*:*:*:*:*:* | 02.20.142.10-10884 (excluyendo) | |
| cpe:2.3:h:siemens:desigo_pxc5:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página