PT-2022-8944 · Fiserv · Fiserv Prologue
Publicado
2022-08-23
·
Atualizado
2022-08-25
·
CVE-2020-35992
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Fiserv Prologue até 16/12/2020
Descrição
O problema decorre da proteção inadequada da senha do banco de dados. Um invasor que obtenha acesso ao arquivo de configuração, especificamente ao atributo
LogPassword dentro do appconfig.ini, pode descriptografar a senha armazenada. Isso revela as credenciais em texto simples do banco de dados, permitindo o acesso aos registros financeiros dos clientes e possibilitando, potencialmente, o login remoto no banco de dados.Recomendações
Para o Fiserv Prologue até 16/12/2020, considere restringir o acesso ao arquivo de configuração, especificamente ao
appconfig.ini, para impedir o acesso não autorizado ao atributo LogPassword até que uma correção adequada seja aplicada. Além disso, limite os recursos de login remoto ao banco de dados para minimizar possíveis explorações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fiserv Prologue