Vulnerabilidad en Siklu TG Terragraph (CVE-2022-47036)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

18/03/2024

Última modificación:

27/08/2024

Descripción

Los dispositivos Siklu TG Terragraph anteriores a aproximadamente 2.1.1 tienen una contraseña de root codificada que se ha revelado mediante un ataque de fuerza bruta en un hash MD5. Un administrador puede utilizarlo para "iniciar sesión de depuración". NOTA: la vulnerabilidad no se soluciona con el firmware 2.1.1; en cambio, se soluciona en hardware más nuevo, que normalmente se usaría con el firmware 2.1.1 o posterior.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Referencias a soluciones, herramientas e información

https://semaja2.net/2023/06/11/siklu-tg-auth-bypass.html