CVE-2022-46142Средний
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
Уязвимые устройства хранят пароли пользователей CLI в зашифрованном виде во флэш-памяти. Злоумышленники, имеющие физический доступ к устрой…
CVSS
5.2
Средний
EPSS
0.00
p17
Опубликовано
2022-01-01
Обновлено
2022-01-01
Описание
Уязвимые устройства хранят пароли пользователей CLI в зашифрованном виде во флэш-памяти. Злоумышленники, имеющие физический доступ к устройству, могут получить файл и расшифровать пароли пользователей CLI.
Теги · CWE
CWE-257
CWE-257БазаНеполный
Хранение паролей в восстанавливаемом формате
Хранение паролей в восстанавливаемом формате делает их уязвимыми к атакам повторного использования со стороны злоумышленников. Следует учитывать, что восстанавливаемые зашифрованные пароли не дают существенного преимущества перед паролями в открытом виде, поскольку доступны не только внешним злоумышленникам, но и недобросовестным сотрудникам. Если системный администратор может восстановить пароль напрямую или посредством перебора доступной информации, он может использовать этот пароль и для других учётных записей.
https://cwe.mitre.org/data/definitions/257.html →Открыть в коллекции CWE →CAPEC-49
CAPEC-49СтандартЧерновик
Перебор паролей
Злоумышленник перебирает все возможные значения пароля до тех пор, пока не достигает успеха. Атака полного перебора, если она вычислительно выполнима, всегда успешна, поскольку по существу перебирает все возможные пароли, образуемые применяемым алфавитом (строчные и прописные буквы, цифры, специальные символы и т. д.) с учётом максимальной длины пароля.
https://capec.mitre.org/data/definitions/49.html →Открыть в коллекции CAPEC →Затронутые продукты
Ruggedcom_rm1224_lte(4g)_eu_firmwareRuggedcom_rm1224_lte(4g)_nam_firmwareScalance_m804pb_firmwareScalance_m812-1_adsl-router_firmwareScalance_m816-1_adsl-router_firmwareScalance_m826-2_shdsl-router_firmwareScalance_m874-2_firmwareScalance_m874-3_firmwareScalance_m876-3_firmwareScalance_m876-4_firmwareScalance_mum853-1_firmwareScalance_mum856-1_firmwareScalance_s615_eec_firmwareScalance_s615_firmwareScalance_sc622-2c_firmwareScalance_sc626-2c_firmwareScalance_sc632-2c_firmwareScalance_sc636-2c_firmwareScalance_sc642-2c_firmwareScalance_sc646-2c_firmware
Вектор CVSS
CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2022-01-01
Опубликована
2022-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: P
Физическая (P)
Сложность атаки
AC: L
Низкая (L)
Требования к атаке
AT: N
None
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Конфиденциальность уязвимой системы
VC: H
Высокое (H)
Целостность уязвимой системы
VI: L
Низкое (L)
Доступность уязвимой системы
VA: L
Низкое (L)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.003 · p17
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
└ через CAPEC-49 · CWE-257
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
| Продукт | Вендор | Статус |
|---|---|---|
| ruggedcom_rm1224_lte(4g)_eu_firmware | * | Отслеживается |
| ruggedcom_rm1224_lte(4g)_nam_firmware | * | Отслеживается |
| scalance_m804pb_firmware | * | Отслеживается |
| scalance_m812-1_adsl-router_firmware | * | Отслеживается |
| scalance_m816-1_adsl-router_firmware | * | Отслеживается |
| scalance_m826-2_shdsl-router_firmware | * | Отслеживается |
| scalance_m874-2_firmware | * | Отслеживается |
| scalance_m874-3_firmware | * | Отслеживается |
| scalance_m876-3_firmware | * | Отслеживается |
| scalance_m876-4_firmware | * | Отслеживается |
| scalance_mum853-1_firmware | * | Отслеживается |
| scalance_mum856-1_firmware | * | Отслеживается |
| scalance_s615_eec_firmware | * | Отслеживается |
| scalance_s615_firmware | * | Отслеживается |
| scalance_sc622-2c_firmware | * | Отслеживается |
| scalance_sc626-2c_firmware | * | Отслеживается |
| scalance_sc632-2c_firmware | * | Отслеживается |
| scalance_sc636-2c_firmware | * | Отслеживается |
| scalance_sc642-2c_firmware | * | Отслеживается |
| scalance_sc646-2c_firmware | * | Отслеживается |
Показаны первые 20 из 101
Источники данных
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →