Vulnerabilidad en Campbell Scientific (CVE-2023-0321)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
26/01/2023
Última modificación:
06/02/2023
Descripción
Los registradores de datos Campbell Scientific CR6, CR300, CR800, CR1000 y CR3000 pueden permitir a un atacante descargar archivos de configuración, que pueden contener información confidencial sobre la red interna. Por defecto de fábrica, los registros de datos mencionados tienen HTTP y PakBus habilitados. Los dispositivos, con la configuración predeterminada, permiten esta situación a través del puerto PakBus. La explotación de esta vulnerabilidad puede permitir a un atacante descargar, modificar y cargar nuevos archivos de configuración.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:campbellsci:cr6_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:h:campbellsci:cr6:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:campbellsci:cr300_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:h:campbellsci:cr300:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:campbellsci:cr800_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:h:campbellsci:cr800:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:campbellsci:cr1000_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:h:campbellsci:cr1000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:campbellsci:cr3000_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:h:campbellsci:cr3000:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página