Vulnerabilidad en Saviynt (CVE-2025-3837)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

21/04/2025

Última modificación:

21/04/2025

Descripción

Se identificó una vulnerabilidad de validación de entrada incorrecta en el componente de conexión basado en OVA al final de su vida útil (EOL), que se implementa para su instalación en la red interna del cliente. Este componente al final de su vida útil quedó obsoleto en septiembre de 2023 y su fin de soporte se extendió hasta enero de 2024. En determinadas circunstancias, un actor puede manipular un parámetro de solicitud específico e inyectar un payload de ejecución de código, lo que podría provocar la ejecución remota de código en la infraestructura que aloja este componente.

Impacto

Vector 4.0

CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

6.10

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://saviynt.com/trust-compliance-security