Inicio / Alerta Temprana / Vulnerabilidades / CVE-2018-7718

Vulnerabilidad en Telexy QPath (CVE-2018-7718)

Tipo: 
Permisos, privilegios y/o control de acceso
Gravedad: 
Media
Fecha publicación : 
08/11/2018
Última modificación: 
01/02/2019
Descripción
Se descubrió un problema en Telexy QPath 5.4.462. Un usuario autentificado con bajos privilegios que proporcione una petición serializada especialmente diseñada a AdanitDataService.svc puede modificar la información del usuario, incluyendo pero no limitándose a la dirección de correo electrónico, el nombre de usuario y la contraseña de otras cuentas de usuario. El método de ataque más sencillo es que el atacante intercepte su propia solicitud de cambio de contraseña y modifique el nombre de usuario antes de que la solicitud llegue al servidor. Además, cambiar la dirección de correo electrónico de una víctima puede tener una consecuencia similar: la apropiación de la cuenta.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: Requiere una única instancia para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + No hay impacto en la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
  • Telexy Qpath 5.4.462
Referencias a soluciones, herramientas e información
Explicación de los campos