Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01829

Опубликовано: 02 нояб. 2020
Источник: fstec
CVSS3: 8.8
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость драйвера EEM (Ethernet Emulation Mode) микропрограммного обеспечения устройств для считывания смарт-карт серии OMNIKEY 5427 и серии OMNIKEY 5127 связана с недостаточной проверкой подлинности выполняемых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки путем отправки специально сформированных HTTP-запросов

Вендор

HID Global Corporation

Наименование ПО

OMNIKEY 5427 Gen 1
OMNIKEY 5427 Gen 2
OMNIKEY 5427 Gen 2 with BLE interface
OMNIKEY 5127 Mini
OMNIKEY 5127 Mini with industrial housing
OMNIKEY 5127 Reader Core

Версия ПО

- (OMNIKEY 5427 Gen 1)
- (OMNIKEY 5427 Gen 2)
- (OMNIKEY 5427 Gen 2 with BLE interface)
- (OMNIKEY 5127 Mini)
- (OMNIKEY 5127 Mini with industrial housing)
- (OMNIKEY 5127 Reader Core)

Тип ПО

Микропрограммный код

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.hidglobal.com/sites/default/files/resource_files/hid-psa-2020-01-omnikey-csrf-security-advisory-paper.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 44%
0.00214
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-36283

CVSS3: 9.6
nvd
почти 5 лет назад

HID OMNIKEY 5427 and OMNIKEY 5127 readers are vulnerable to CSRF when using the EEM driver (Ethernet Emulation Mode). By persuading an authenticated user to visit a malicious Web site, a remote attacker could send a malformed HTTP request to upload a configuration file to the device. An attacker could exploit this vulnerability to perform cross-site scripting attacks, Web cache poisoning, and other malicious activities.

github логотип

GHSA-3f7c-f4gm-hmv7

github
больше 3 лет назад

HID OMNIKEY 5427 and OMNIKEY 5127 readers are vulnerable to CSRF when using the EEM driver (Ethernet Emulation Mode). By persuading an authenticated user to visit a malicious Web site, a remote attacker could send a malformed HTTP request to upload a configuration file to the device. An attacker could exploit this vulnerability to perform cross-site scripting attacks, Web cache poisoning, and other malicious activities.

EPSS

Процентиль: 44%
0.00214
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2