CVE-2021-45036

Velneo vClient improper authentication

CVSS 8.7 HIGHEPSS 0.7%CWE-290

Vexday Risk Score

21Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS 8.7EPSS 0.7%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

28 nov 2022Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

Velneo vClient on its 28.1.3 version, could allow an attacker with knowledge of the victims's username and hashed password to spoof the victim's id against the server.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N

Productos afectados

Velneo · Velneo vClient

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://doc.velneo.com/v/32/velneo/funcionalidades-comunes/conexion-con-velneo-vserver https://doc.velneo.com/v/32/velneo/notas-de-la-version#a-partir-de-esta-version-todos-los-servidores-arrancaran-con-protocolo-vatps https://doc.velneo.com/v/32/velneo/notas-de-la-version#mejoras-de-seguridad-en-validacion-de-usuario-y-contrasena https://doc.velneo.com/v/32/velneo-vserver/funcionalidades/protocolo-vatps https://velneo.es/mivelneo/listado-de-cambios-velneo-32/https://www.incibe.es/en/incibe-cert/notices/aviso/velneo-vclient-improper-authentication-0 https://www.velneo.com/blog/disponible-la-nueva-version-velneo-32