PT-2020-12024 · Mobile Industrial Robots A/S+3 · Mir100+10
Alias Robotics
+1
·
Publicado
2020-06-24
·
Atualizado
2020-07-02
·
CVE-2020-10275
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Não há menção a nenhum nome específico de software ou versões afetadas nas descrições fornecidas.
Descrição
A vulnerabilidade diz respeito à geração de tokens de acesso para uma API REST, que são derivados diretamente de credenciais padrão disponíveis publicamente para a interface web. Dados um
USERNAME e uma PASSWORD, a string do token é gerada usando base64(USERNAME:sha256(PASSWORD)). Isso permite que um invasor não autorizado dentro da rede calcule o token e interaja com a API REST, levando potencialmente à exfiltração, infiltração ou exclusão de dados.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Inadequate Encryption Strength
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mir100
Er-Flex Firmware
Er-Lite Firmware
Er-One Firmware
Er200 Firmware
Mir1000 Firmware
Mir100 Firmware
Mir200 Firmware
Mir250 Firmware
Mir500 Firmware
Uvd Firmware