Vulnerabilidad en el envío de una petición POST al URI /sdm-ws-rest/preconfiguration en la API sdm-ws-rest en Scytl sVote (CVE-2019-25020)

Tipo:

Ausencia de autenticación para una función crítica

Gravedad:

Media

Fecha publicación :

27/02/2021

Última modificación:

04/03/2021

Descripción

Se detectó un problema en Scytl sVote versión 2.1. Debido a que la API sdm-ws-rest no requiere autenticación, un atacante puede recuperar la configuración administrativa mediante el envío de una petición POST al URI /sdm-ws-rest/preconfiguration

Impacto

Vector de acceso: A través de red

Complejidad de Acceso: Baja

Autenticación: No requerida para explotarla

Tipo de impacto: No hay impacto en la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema

Productos y versiones vulnerables

cpe:2.3:a:scytl:secure_vote:2.1:*:*:*:*:*:*:*

Para consultar la lista completa de productos y versiones ver esta página

Referencias a soluciones, herramientas e información

https://suid.ch/research/CVE-2019-25020.html (Origen: MISC)

Explicación de los campos

Accesos corporativos

Vulnerabilidad en el envío de una petición POST al URI /sdm-ws-rest/preconfiguration en la API sdm-ws-rest en Scytl sVote (CVE-2019-25020)