Fecha de publicaciĆ³n: 06/10/2021
Importancia:
Media
Recursos afectados:
Integria IMS, versiĆ³n 5.0.92.
DescripciĆ³n:
INCIBE ha coordinado la publicaciĆ³n de una vulnerabilidad en Integria IMS, con el cĆ³digo interno INCIBE-2021-0405, que ha sido descubierta por @nag0mez (menciĆ³n especial a @_Barriuso).
A esta vulnerabilidad se le ha asignado el cĆ³digo CVE-2021-3833. Se ha calculado una puntuaciĆ³n base CVSS v3.1 de 6,5; siendo el cĆ”lculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N.
SoluciĆ³n:
Esta vulnerabilidad ha sido corregida en Integria IMS 5.0.93.
Detalle:
La comprobaciĆ³n de inicio de sesiĆ³n de Integria IMS utiliza un comparador suelto (“==”) para comparar el hash MD5 de la contraseƱa proporcionada por el usuario y el hash MD5 almacenado en la base de datos.
Un atacante con una contraseƱa de formato especĆfico podrĆa explotar esta vulnerabilidad para iniciar sesiĆ³n en el sistema con diferentes contraseƱas.
Esta vulnerabilidad ha sido corregida en Integria IMS 5.0.93.
CWE-863: AutorizaciĆ³n incorrecta.
LĆnea temporal:
08/04/2021 – DivulgaciĆ³n de los investigadores.
09/04/2021 – Los investigadores contactan con INCIBE.
20/05/2021 – Integria IMS confirma que la versiĆ³n correctora y la nueva versiĆ³n de software han sido publicadas (security patch).
06/10/2021 – INCIBE publica el aviso.
Si tiene mĆ”s informaciĆ³n sobre este aviso, pĆ³ngase en contacto con INCIBE, como se indica en la secciĆ³n de asignaciĆ³n y publicaciĆ³n de CVE.
Etiquetas:
0day, ActualizaciĆ³n, CNA, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.