Vulnerabilidad en Saviynt (CVE-2025-3838)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-327 Uso de algoritmo criptográfico vulnerable o inseguro

Fecha de publicación:

21/04/2025

Última modificación:

21/04/2025

Descripción

Se identificó una vulnerabilidad de autorización incorrecta en el componente de conexión basado en OVA al final de su vida útil, que se implementa para su instalación en la red interna del cliente. En ciertas circunstancias, esto podría permitir que un atacante obtenga acceso no autorizado a la base de datos local que contiene credenciales del instalador con hash débil. Este componente al final de su vida útil quedó obsoleto en septiembre de 2023 y su fin de soporte se extendió hasta enero de 2024.

Impacto

Vector 4.0

CVSS:4.0/AV:A/AC:H/AT:P/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:4.0/AV:A/AC:H/AT:P/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

6.10

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://saviynt.com/trust-compliance-security