PT-2022-23303 · Airspan · Airspan Airvelocity 1500

Vladionescu

Publicado

2022-08-16

Atualizado

2022-08-17

CVE-2022-36308

CVSS v3.1

9.1

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Nome do software vulnerável e versões afetadas

Airspan AirVelocity 1500, versões anteriores à 15.18.00.2511

Descrição

A interface de usuário de gerenciamento web do software afetado exibe credenciais SNMP em texto simples e armazena credenciais SNMPv3 sem hash no sistema de arquivos. Isso permite que qualquer pessoa com acesso à web utilize essas credenciais para manipular o eNodeB via SNMP. O problema também pode afetar outros modelos AirVelocity e AirSpeed.

Recomendações

Para versões anteriores à 15.18.00.2511, atualize para a versão 15.18.00.2511 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à web à interface de gerenciamento para minimizar o risco de exploração.

Correção

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-522CWE-256

Identificadores relacionados

CVE-2022-36308

GHSA-QJGC-RX8M-Q58X

Produtos afetados

Airspan Airvelocity 1500

PT-2022-23303 · Airspan · Airspan Airvelocity 1500

CVE-2022-36308

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5