CVE-2022-43400

CVSS 9.8 CRITICALEPSS 0.9%CWE-1390

En resumen

Una falla en Siveillance Video Mobile Server permite que atacantes inicien sesión sin credenciales válidas al explotar cómo el sistema maneja las cuentas de administrador de Active Directory. Esto podría permitir que cualquier persona acceda remotamente a la aplicación sin autorización.

Detalle técnico

La vulnerabilidad existe en el mecanismo de autenticación para cuentas de Active Directory asignadas al grupo Administrators; un atacante remoto no autenticado puede eludir los requisitos de inicio de sesión mediante el manejo inadecuado de estas cuentas privilegiadas. El ataque requiere solo acceso de red al servidor móvil sin credenciales previas, lo que resulta en acceso no autorizado completo a la aplicación.

Resumen generado y traducido por IA a partir de la descripción oficial.

A vulnerability has been identified in Siveillance Video Mobile Server V2022 R2 (All versions < V22.2a (80)). The mobile server component of affected applications improperly handles the log in for Active Directory accounts that are part of Administrators group. This could allow an unauthenticated remote attacker to access the application without a valid account.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

Siemens · Siveillance Video Mobile Server V2022 R2

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://cert-portal.siemens.com/productcert/pdf/ssa-640732.pdf