PT-2024-28855 · No Ip · No-Ip Dynamic Update Client
Jeppojeps
·
Publicado
2024-09-12
·
Atualizado
2024-10-31
·
CVE-2024-40457
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H |
Nome do software vulnerável e versões afetadas
No-IP Dynamic Update Client (DUC) versões 3.x
Descrição
O No-IP Dynamic Update Client (DUC) v3.x utiliza credenciais em texto simples que podem aparecer na linha de comando ou em um arquivo. A posição do fornecedor é que o uso de texto simples no arquivo /etc/default/noip-duc é recomendado e constitui um comportamento intencional.
Recomendações
Para o No-IP Dynamic Update Client (DUC) versões 3.x, considere restringir o acesso ao arquivo /etc/default/noip-duc para minimizar o risco de exploração. Como solução temporária, evite usar credenciais em texto simples em linhas de comando ou arquivos até que um método mais seguro seja implementado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
No-Ip Dynamic Update Client