Podatność CVE-2019-13140


Publikacja: 2019-09-16

Opis:
Inteno EG200 EG200-WU7P1U_ADAMO3.16.4-190226_1650 routers have a JUCI ACL misconfiguration that allows the "user" account to extract the 3DES key via JSON commands to ubus. The 3DES key is used to decrypt the provisioning file provided by Adamo Telecom on a public URL via cleartext HTTP.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Med.
Inteno IOPSYS Gateway Improper Access Restrictions
Gerard Fuguet
16.09.2019

Typ:

CWE-203

(Information Exposure Through Discrepancy)

CVSS2 => (AV:N/AC:M/Au:N/C:P/I:N/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4.3/10
2.9/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Brak
Brak
Affected software
Intenogroup -> Eg200 firmware 

 Referencje:
http://packetstormsecurity.com/files/154494/Inteno-IOPSYS-Gateway-3DES-Key-Extraction-Improper-Access.html
https://twitter.com/GerardFuguet/status/1169298861782896642
https://www.exploit-db.com/docs/47397
https://www.exploit-db.com/exploits/47390

Copyright 2024, cxsecurity.com

 

Back to Top