Autenticación incorrecta en Velneo vClient

Fecha de publicación: 23/11/2022

Importancia:
Alta

Recursos afectados:

Velneo vClient, versión 28.1.3.

Descripción:

INCIBE ha coordinado la publicación de 1 vulnerabilidad en Velneo vClient, que ha sido descubierta por Jesús Ródenas Huerta, ‘Marmeus’.

A esta vulnerabilidad se le ha asignado el código CVE-2021-45036. Se ha calculado una puntuación base CVSS v3.1 de 8,7, siendo el cálculo del CVSS el siguiente: AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N.

Solución:

Esta vulnerabilidad ha sido corregida por el equipo de Velneo en la versión 32, publicada el 08/11/2022.

Detalle:

Velneo vClient, en su versión 28.1.3, podría permitir a un atacante que conozca el nombre de usuario y la contraseña cifrada de la víctima, falsificar la identificación de la víctima contra el servidor (spoofing).

CWE-836: uso del hash de la contraseña en lugar de la contraseña para la autenticación.

Si tienes más información sobre este aviso, ponte en contacto con INCIBE, como se indica en la sección de ‘Asignación y publicación de CVE‘.

Encuesta valoración

Etiquetas:
0day, Actualización, CNA, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.