Vulnerabilidad en Supcon InPlant SCADA (CVE-2023-4986)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-916 Uso de hash de contraseña generado con esfuerzo computacional insuficiente

Fecha de publicación:

15/09/2023

Última modificación:

17/05/2024

Descripción

Una vulnerabilidad ha sido encontrada en Supcon InPlant SCADA hasta 20230901 y clasificada como problemática. Una función desconocida del archivo Project.xml es afectada por esta vulnerabilidad. La manipulación conduce a un hash de contraseña con un esfuerzo computacional insuficiente. Se requiere acceso local para abordar este ataque. La complejidad del ataque es bastante alta. La explotación parece difícil. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-239797. NOTA: Se contactó primeramente al proveedor sobre esta divulgación, pero no respondió de ninguna manera.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 2.50 BAJA
Vector: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

2.50

Gravedad 3.x

BAJA

Vector 2.0

AV:L/AC:H/Au:S/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 1.00 BAJA
Vector: AV:L/AC:H/Au:S/C:P/I:N/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno