Vulnerabilidad en FW de Dataprobe iBoot-PDU (CVE-2022-3187)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-285 Autorización incorrecta

Fecha de publicación:

21/12/2022

Última modificación:

07/11/2023

Descripción

Las versiones de FW de Dataprobe iBoot-PDU anteriores a 1.42.06162022 contienen una vulnerabilidad donde ciertas páginas PHP solo se validan cuando se establece una conexión válida con la base de datos. Sin embargo, estas páginas PHP no verifican la validez de un usuario. Los atacantes podrían aprovechar esta falta de verificación para leer el estado de los puntos de venta.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:dataprobe:iboot-pdu4-n20_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu4-n20:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu4sa-n15_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu4sa-n15:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu4a-n15_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu4a-n15:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu4sa-n20_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu4sa-n20:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu4a-n20_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu4a-n20:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu8sa-n15_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu8sa-n15:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu8a-n15_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu8a-n15:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu8sa-2n15_firmware::::::::		1.42.06162022 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://www.cisa.gov/uscert/ics/advisories/icsa-22-263-03

CPE	Desde	Hasta
cpe:2.3:o:dataprobe:iboot-pdu4-n20_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu4-n20:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu4sa-n15_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu4sa-n15:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu4a-n15_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu4a-n15:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu4sa-n20_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu4sa-n20:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu4a-n20_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu4a-n20:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu8sa-n15_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu8sa-n15:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu8a-n15_firmware::::::::		1.42.06162022 (excluyendo)
cpe:2.3:h:dataprobe:iboot-pdu8a-n15:-:::::::*
cpe:2.3:o:dataprobe:iboot-pdu8sa-2n15_firmware::::::::		1.42.06162022 (excluyendo)