CVE-2022-40258

Weak password hashes for Redfish & API

CVSS 5.3 MEDIUMEPSS 0.4%CWE-916

En resumen

AMI Megarac utiliza funciones de hash débiles para almacenar contraseñas en sus interfaces Redfish y API, haciendo que las contraseñas sean vulnerables si un atacante obtiene acceso a la base de datos. Esto es importante porque los hashes débiles pueden ser descifrados rápidamente, comprometiendo cuentas de usuario.

Detalle técnico

La vulnerabilidad proviene del uso de algoritmos de hash criptográfico insuficientes (CWE-916) para el almacenamiento de contraseñas en Redfish y API de AMI Megarac. Si un atacante obtiene la base de datos de hashes por otros medios (acceso a archivos de configuración o base de datos), los hashes débiles pueden ser rápidamente revertidos mediante ataques de diccionario o fuerza bruta, resultando en compromiso de cuentas y potencial escalada de privilegios.

Resumen generado y traducido por IA a partir de la descripción oficial.

AMI Megarac Weak password hashes for Redfish & API

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Productos afectados

AMI · MegaRAC SPx-12 AMI · MegaRAC SPx-13

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://9443417.fs1.hubspotusercontent-na1.net/hubfs/9443417/Security%20Advisories/AMI-SA-2023001.pdf https://security.netapp.com/advisory/ntap-20230731-0008/