PT-2022-6095 · Cisco · Cisco Duo
Publicado
2022-09-30
·
Atualizado
2022-10-04
·
CVE-2022-20662
CVSS v3.1
6.8
Média
| Vetor | AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Cisco Duo para Mac OS (versões afetadas não especificadas)
Descrição
O problema está relacionado a falhas no procedimento de autenticação do componente Smart Card Login. Isso poderia permitir que um invasor remoto causasse uma negação de serviço. Um invasor não autenticado com acesso físico poderia contornar a autenticação, pois o usuário atribuído a um cartão inteligente não é corretamente associado ao usuário que está se autenticando. Um invasor poderia explorar isso configurando um login por cartão inteligente para contornar a autenticação do Duo, permitindo potencialmente o uso de qualquer cartão inteligente de verificação de identidade pessoal (PIV) para autenticação, mesmo que não esteja atribuído ao usuário que está se autenticando.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Duo