Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Almacenamiento de información sensible sin cifrar en ARC Informatique PcVue

Fecha de publicación 24/08/2022
Importancia
3 - Media
Recursos Afectados

Configuración del servicio web PcVue OAuth, versiones 12 y 15.

Descripción

Esta vulnerabilidad de severidad media en PcVue de ARC Informatique podría permitir a un atacante acceder a la base de datos del servicio web OAuth.

Solución
  • PcVue 12: instalar la versión de mantenimiento 12.0.27:
    • después de instalar la corrección, los usuarios deben actualizar Web Deployment Console (WDC) y volver a desplegar el servidor web;
    • todos los usuarios que utilicen el componente afectado deben instalar una versión parcheada del WDC y volver a desplegar el servidor web, lo que permitirá que el WDC actualice y proteja la cadena de conexión a la base de datos, incluyendo la limpieza de cualquier información sensible almacenada en el archivo web.config.
  • PcVue 15: se está desarrollando una corrección.
Detalle

El dispositivo afectado almacena información sensible en texto claro, lo que podría permitir que un usuario autenticado accediese a los datos de sesión pertenecientes a usuarios legítimos que están almacenados en la base de datos OAuth. Se ha asignado el identificador CVE-2022-2569 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-22-235-01) ARC Informatique PcVue
Etiquetas