Gestión inadecuada de credenciales en Remote Application Server de Parallels

Fecha de publicación: 14/12/2021

Importancia:
Alta

Recursos afectados:

Parallels Remote Application Server (Client), versiones de la 15.5 a la 17.

Descripción:

INCIBE ha coordinado la publicación de una vulnerabilidad en Parallels Remote Application Server, con el código interno INCIBE-2021-0512, que ha sido descubierta por Francisco Palma, Diego León y David Jiménez de Zerolynx.

A esta vulnerabilidad se le ha asignado el código CVE-2020-8968. Se ha calculado una puntuación base CVSS v3.1 de 8.0, siendo el cálculo del CVSS el siguiente: AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L.

Solución:

Aplicar el parche de seguridad que publique Parallels en su base de conocimiento.

Detalle:

Parallels Remote Application Server (RAS) podría permitir a un atacante local recuperar determinadas contraseñas de perfil en formato de texto claro, mediante la carga de un archivo cifrado previamente almacenado por Parallels RAS.

La confidencialidad, disponibilidad e integridad de la información de un usuario podrían ser comprometidas si un atacante puede recuperar la contraseña del perfil.

CWE-255: errores en la gestión de credenciales.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Etiquetas:
0day, Actualización, CNA, Virtualización, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.