Modificación de datos en HID Global SAFE

Modificación de datos en HID Global SAFE
raquel.loma
Vie, 02/06/2023 – 10:21

Recursos Afectados

HID SAFE, portal de administrador de visitantes externos: versiones 5.8.0 a 5.11.3.

Descripción

CISA ha descubierto una vulnerabilidad de severidad alta que podría exponer datos personales o crear una condición de denegación de servicio.

4 – Alta
Solución

La función de gestión de visitantes externos tiene licencia y se implementa por separado al software central HID SAFE. Los usuarios que no utilizan esta función no se ven afectados. 

Para más información puede consultar el aviso de HID.

Detalle

La vulnerabilidad detectada afecta al portal del administrador de visitantes externos que es vulnerable a la manipulación dentro de los campos web, en la interfaz programable de la aplicación (API). Un atacante podría iniciar sesión con las credenciales de la cuenta disponibles, a través de una solicitud generada por un usuario interno y luego manipular la identificación del visitante dentro de la API web para acceder a los datos personales de otros usuarios. No hay límite en la cantidad de solicitudes que se pueden realizar al servidor web HID SAFE, por lo que un atacante también podría aprovechar esta vulnerabilidad para crear una condición de denegación de servicio. 

Se ha asignado el identificador CVE-2023-2904 para esta vulnerabilidad.

 

Listado de referencias

Ir a la fuente
Author: raquel.loma
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.