Modificación de datos en HID Global SAFE
INCIBE-2023-0206
HID SAFE, portal de administrador de visitantes externos: versiones 5.8.0 a 5.11.3.
CISA ha descubierto una vulnerabilidad de severidad alta que podría exponer datos personales o crear una condición de denegación de servicio.
La función de gestión de visitantes externos tiene licencia y se implementa por separado al software central HID SAFE. Los usuarios que no utilizan esta función no se ven afectados.
Para más información puede consultar el aviso de HID.
La vulnerabilidad detectada afecta al portal del administrador de visitantes externos que es vulnerable a la manipulación dentro de los campos web, en la interfaz programable de la aplicación (API). Un atacante podría iniciar sesión con las credenciales de la cuenta disponibles, a través de una solicitud generada por un usuario interno y luego manipular la identificación del visitante dentro de la API web para acceder a los datos personales de otros usuarios. No hay límite en la cantidad de solicitudes que se pueden realizar al servidor web HID SAFE, por lo que un atacante también podría aprovechar esta vulnerabilidad para crear una condición de denegación de servicio.
Se ha asignado el identificador CVE-2023-2904 para esta vulnerabilidad.