Fecha de publicación: 06/10/2021
Importancia:
Media
Recursos afectados:
Integria IMS, versión 5.0.92.
Descripción:
INCIBE ha coordinado la publicación de una vulnerabilidad en Integria IMS, con el código interno INCIBE-2021-0405, que ha sido descubierta por @nag0mez (mención especial a @_Barriuso).
A esta vulnerabilidad se le ha asignado el código CVE-2021-3833. Se ha calculado una puntuación base CVSS v3.1 de 6,5; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N.
Solución:
Esta vulnerabilidad ha sido corregida en Integria IMS 5.0.93.
Detalle:
La comprobación de inicio de sesión de Integria IMS utiliza un comparador suelto (“==”) para comparar el hash MD5 de la contraseña proporcionada por el usuario y el hash MD5 almacenado en la base de datos.
Un atacante con una contraseña de formato específico podría explotar esta vulnerabilidad para iniciar sesión en el sistema con diferentes contraseñas.
Esta vulnerabilidad ha sido corregida en Integria IMS 5.0.93.
CWE-863: Autorización incorrecta.
Línea temporal:
08/04/2021 – Divulgación de los investigadores.
09/04/2021 – Los investigadores contactan con INCIBE.
20/05/2021 – Integria IMS confirma que la versión correctora y la nueva versión de software han sido publicadas (security patch).
06/10/2021 – INCIBE publica el aviso.
Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.
Etiquetas:
0day, Actualización, CNA, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.