CVE-2023-31240

CVSS 8.3 HIGHEPSS 0.5%CWE-1391

En resumen

Snap One OvrC Pro versiones anteriores a la 7.2 contienen una cuenta de superusuario oculta con credenciales codificadas que puede ser accedida a través de un servidor web disponible en internet y red local. Un atacante puede usar estas credenciales para obtener control total del sistema.

Detalle técnico

CVE-2023-31240 involucra credenciales de superusuario codificadas en el servidor web integrado de OvrC Pro (CWE-1391: Contraseña Codificada). El servidor es accesible de forma remota y desde la red local, permitiendo a atacantes no autenticados autenticarse como administrador sin modificación de credenciales. El impacto incluye compromiso total del sistema y acceso no autorizado a dispositivos gestionados.

Resumen generado y traducido por IA a partir de la descripción oficial.

Snap One OvrC Pro versions prior to 7.2 have their own locally running web server accessible both from the local network and remotely. OvrC cloud contains a hidden superuser account accessible through hard-coded credentials.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

Productos afectados

Snap One · OvrC Cloud

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.cisa.gov/news-events/ics-advisories/icsa-23-136-01 https://www.control4.com/docs/product/ovrc-software/release-notes/english/latest/ovrc-software-release-notes-rev-r.pdf