Fecha de publicación: 23/11/2022

Importancia: Alta

Recursos afectados:

Velneo vClient, versión 28.1.3.

Descripción:

INCIBE ha coordinado la publicación de 1 vulnerabilidad en Velneo vClient, que ha sido descubierta por Jesús Ródenas Huerta, ‘Marmeus’.

A esta vulnerabilidad se le ha asignado el código CVE-2021-45036. Se ha calculado una puntuación base CVSS v3.1 de 8,7, siendo el cálculo del CVSS el siguiente: AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N.

Solución:

Esta vulnerabilidad ha sido corregida por el equipo de Velneo en la versión 32, publicada el 08/11/2022.

Detalle:

Velneo vClient, en su versión 28.1.3, podría permitir a un atacante que conozca el nombre de usuario y la contraseña cifrada de la víctima, falsificar la identificación de la víctima contra el servidor (spoofing).

CWE-836: uso del hash de la contraseña en lugar de la contraseña para la autenticación.

Si tienes más información sobre este aviso, ponte en contacto con INCIBE, como se indica en la sección de 'Asignación y publicación de CVE'.

Etiquetas: 0day, Actualización, CNA, Vulnerabilidad