Vulnerabilidad en el vector de inicialización requerido para el cifrado en Apache OpenOffice (CVE-2022-37400)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-330 Uso de valores insuficientemente aleatorios

Fecha de publicación:

15/08/2022

Última modificación:

02/08/2023

Descripción

Apache OpenOffice admite el almacenamiento de contraseñas para conexiones web en la base de datos de configuración del usuario. Las contraseñas almacenadas son cifradas con una única clave maestra proporcionada por el usuario. Se presentaba un fallo en OpenOffice en el que el vector de inicialización requerido para el cifrado era siempre el mismo, lo que debilitaba la seguridad del cifrado haciéndolo vulnerable si un atacante presentaba acceso a los datos de configuración del usuario. Este problema afecta a: Apache OpenOffice versiones anteriores a 4.1.13. Referencia: CVE-2022-26306 - LibreOffice

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto