PT-2020-9560 · Adrem · Adrem Netcrunch
Fabio Poloni
+2
·
Publicado
2020-12-16
·
Atualizado
2020-12-17
·
CVE-2019-14482
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
**Nome do software vulnerável e versões afetadas:
AdRem NetCrunch versão 10.6.0.4587
Descrição:
O problema está relacionado a uma vulnerabilidade na chave privada SSL codificada no cliente web do NetCrunch. Essa chave codificada é utilizada em instalações de diferentes clientes quando nenhum outro certificado SSL está instalado. Como resultado, invasores remotos podem contornar os mecanismos de proteção criptográfica aproveitando o conhecimento dessa chave obtida em outra instalação.
Recomendações:
Para o AdRem NetCrunch versão 10.6.0.4587, considere substituir a chave privada SSL codificada por um certificado exclusivo para cada instalação, a fim de impedir a exploração. Além disso, restrinja o acesso ao cliente web do NetCrunch até que um certificado SSL adequado seja instalado.
Exploit
Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Adrem Netcrunch