Vulnerabilidad en el equipo de monitoreo de condiciones de Bently Nevada (CVE-2022-29952)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
26/07/2022
Última modificación:
09/02/2024
Descripción
El equipo de monitoreo de condiciones de Bently Nevada versiones hasta 29-04-2022, maneja inapropiadamente la autenticación. Usa los protocolos de comandos y datos TDI (60005/TCP, 60007/TCP) para las comunicaciones entre el controlador de monitorización y el Sistema 1 y/o el software Bently Nevada Monitor Configuration (BNMC). Estos protocolos proporcionan la administración de la configuración y la funcionalidad relacionada con los datos históricos. Ninguno de los dos protocolos presenta características de autenticación, permitiendo a cualquier atacante capaz de comunicarse con los puertos en cuestión invocar (un subconjunto de) la funcionalidad deseada.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:bakerhughes:bently_nevada_3701\/40_firmware:*:*:*:*:*:*:*:* | 4.1 (excluyendo) | |
| cpe:2.3:h:bakerhughes:bently_nevada_3701\/40:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:bakerhughes:bently_nevada_3701\/44_firmware:*:*:*:*:*:*:*:* | 4.1 (excluyendo) | |
| cpe:2.3:h:bakerhughes:bently_nevada_3701\/44:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:bakerhughes:bently_nevada_3701\/46_firmware:*:*:*:*:*:*:*:* | 4.1 (excluyendo) | |
| cpe:2.3:h:bakerhughes:bently_nevada_3701\/46:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:bakerhughes:bently_nevada_60m100_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:bakerhughes:bently_nevada_60m100:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página