CVE-2022-22520

User enumeration vulnerability in MB connect line and Helmholz products

CVSS 5.3 MEDIUMEPSS 0.8%CWE-204

En resumen

Un atacante puede descubrir nombres de usuario válidos enviando solicitudes especiales al servicio web sin necesidad de iniciar sesión. Esta información se puede utilizar para intentar adivinar contraseñas.

Detalle técnico

Vulnerabilidad de enumeración de usuarios por divulgación de información (CWE-204) en puntos finales del servicio web sin autenticación. El atacante remoto puede diferenciar entre nombres de usuario válidos e inválidos mediante análisis de respuestas, facilitando ataques dirigidos de fuerza bruta de credenciales.

Resumen generado y traducido por IA a partir de la descripción oficial.

A remote, unauthenticated attacker can enumerate valid users by sending specific requests to the webservice of MB connect line mymbCONNECT24, mbCONNECT24 and Helmholz myREX24 and myREX24.virtual in all versions through v2.11.2.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Productos afectados

Helmholz · myREX24 Helmholz · myREX24.virtual MB connect line · mbCONNECT24 MB connect line · mymbCONNECT24

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://cert.vde.com/en/advisories/VDE-2022-011 https://cert.vde.com/en/advisories/VDE-2022-039