PT-2022-17532 · Igel · Igel Universal Management Suite
Nick Nam
·
Publicado
2022-06-09
·
Atualizado
2022-06-17
·
CVE-2022-25806
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
IGEL Universal Management Suite (UMS) versão 6.07.100
Descrição
Foi descoberta uma vulnerabilidade no IGEL Universal Management Suite (UMS) em que uma chave DES codificada na classe
PrefDBCredentials permite que um invasor descriptografe credenciais de superusuário usando uma chave DES estática de 8 bytes, caso o invasor já tenha descoberto as credenciais criptografadas.Recomendações
Para o IGEL Universal Management Suite (UMS) versão 6.07.100, considere desativar a classe
PrefDBCredentials até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso às credenciais de superusuário para minimizar o risco de descriptografia por um invasor.Exploit
Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Igel Universal Management Suite