Vulnerabilidad en Brocade Webtools (CVE-2022-28169)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-269 Gestión de privilegios incorrecta

Fecha de publicación:

25/10/2022

Última modificación:

09/05/2025

Descripción

Brocade Webtools en versiones de Brocade Fabric OS anteriores a v9.1.1, v9.0.1e y v8.2.3c podrían permitir que un usuario de webtools poco privilegiado obtuviera derechos de administrador elevados, o privilegios, más allá de lo previsto o autorizado para ese usuario. Al explotar esta vulnerabilidad, un usuario cuyo rol no es de administrador puede crear un nuevo usuario con rol de administrador usando el identificador de sesión del operador. El problema fue replicado después de interceptar los encabezados de autorización del administrador y del operador enviadas sin cifrar y editar una petición de adición de usuario para usar el encabezado de autorización del operador

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:broadcom:fabric_operating_system::::::::	8.0.0 (incluyendo)	8.2.3c (excluyendo)
cpe:2.3:o:broadcom:fabric_operating_system::::::::	9.0.0 (incluyendo)	9.0.1e (excluyendo)
cpe:2.3:o:broadcom:fabric_operating_system::::::::	9.1.0 (incluyendo)	9.1.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en Brocade Webtools (CVE-2022-28169)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información