Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en StarWind SAN y NAS (CVE-2022-24551)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
06/02/2022
Última modificación:
01/09/2022

Descripción

Se ha encontrado un fallo en StarWind Stack. El punto final para establecer una nueva contraseña no comprueba el nombre de usuario actual y la contraseña antigua. Un atacante podría restablecer la contraseña de cualquier usuario local (incluido el usuario del sistema/administrador) utilizando cualquier usuario disponible Esto afecta a StarWind SAN y NAS v0.2 build 1633

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:starwindsoftware:nas:*:*:*:*:*:*:*:* 0.2 (excluyendo)
cpe:2.3:a:starwindsoftware:san:*:*:*:*:*:*:*:* 0.2 (excluyendo)


Referencias a soluciones, herramientas e información