Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en arcinfo (CVE-2024-12057)

Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-532 Exposición de información a través de archivos de log
Fecha de publicación:
09/12/2024
Última modificación:
09/12/2024

Descripción

Las credenciales de usuario (nombre de usuario y contraseña) se insertan en los archivos de registro cuando un usuario intenta autenticarse utilizando una versión de un cliente web que no es compatible con la del back end web de PcVue. Al explotar esta vulnerabilidad, un atacante podría recuperar las credenciales de un usuario accediendo al archivo de registro. La explotación exitosa de esta vulnerabilidad podría llevar a un acceso no autorizado a la aplicación.

Impacto

Vector 4.0
CVSS:4.0/AV:L/AC:H/AT:P/PR:H/UI:N/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N/AU:N/R:U/V:C/RE:M/U:Clear CVSS v4.0 Severidad y Métricas:

Puntuación base: 1.80 BAJA
Vector: CVSS:4.0/AV:L/AC:H/AT:P/PR:H/UI:N/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N/AU:N/R:U/V:C/RE:M/U:Clear

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Ninguno
Automatable (AU): No
Recovery (R): Usuario
Value Density (V): Concentrated
Vulnerability Response Effort (RE): Moderate
Provider Urgency (U): Limpiar

Puntuación base 4.0
1.80
Gravedad 4.0
BAJA

Referencias a soluciones, herramientas e información