PT-2022-17533 · Igel · Igel Universal Management Suite

Nick Nam

·

Publicado

2022-06-09

·

Atualizado

2022-06-17

·

CVE-2022-25807

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
IGEL Universal Management Suite (UMS) versão 6.07.100
Descrição
Foi descoberta uma vulnerabilidade no IGEL Universal Management Suite (UMS) em que uma chave DES codificada na classe LDAPDesPWEncrypter permite que um invasor descriptografe credenciais de ligação LDAP criptografadas usando uma chave DES estática de 8 bytes, caso o invasor tenha obtido essas credenciais.
Recomendações
Para o IGEL Universal Management Suite (UMS) versão 6.07.100, considere desativar a classe LDAPDesPWEncrypter até que um patch esteja disponível para impedir a descriptografia de credenciais de ligação LDAP criptografadas.

Exploit

Correção

Using Hardcoded Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-798

Identificadores relacionados

CVE-2022-25807

Produtos afetados

Igel Universal Management Suite