PT-2021-15396 · Gallagher · Gallagher Command Centre Mobile Connect

Publicado

2021-11-18

Atualizado

2021-11-23

CVE-2021-23162

CVSS v3.1

8.1

Alta

Vetor

AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Gallagher Command Centre Mobile Connect para Android, versões anteriores à 15.04.040

Gallagher Command Centre Mobile Connect para Android, versão 14 e versões anteriores

Descrição

O problema está relacionado à validação inadequada da cadeia de certificados da nuvem no Mobile Connect, o que permite que um ataque man-in-the-middle se faça passar pelo servidor Command Centre legítimo.

Recomendações

Para versões anteriores à 15.04.040, atualize para a versão 15.04.040 ou posterior para resolver o problema.

Para a versão 14 e versões anteriores, atualize para uma versão posterior à 14 para mitigar o risco.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-296CWE-295

Identificadores relacionados

CVE-2021-23162

Produtos afetados

Gallagher Command Centre Mobile Connect

PT-2021-15396 · Gallagher · Gallagher Command Centre Mobile Connect

CVE-2021-23162

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 3