CVE-2021-32077

Опубликовано: 06 мая 2021

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

Primary Source Verification in VerityStream MSOW Solutions before 3.1.1 allows an anonymous internet user to discover Social Security Number (SSN) values via a brute-force attack on a (sometimes hidden) search field, because the last four SSN digits are part of the supported combination of search selectors. This discloses doctors' and nurses' social security numbers and PII.

Ссылки

https://www.marbasec.com/blog/cve-2021-32077-fun-with-social-security-numbers
Exploit
Third Party Advisory
https://www.veritystream.com/legacy/msow-solutions
Vendor Advisory
https://www.marbasec.com/blog/cve-2021-32077-fun-with-social-security-numbers
Exploit
Third Party Advisory
https://www.veritystream.com/legacy/msow-solutions
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:veritystream:msow_solutions:*:*:*:*:*:*:*:*

Версия до 3.1.1 (исключая)

EPSS

Процентиль: 58%

0.0036

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

NVD-CWE-Other

Связанные уязвимости

GHSA-8m4r-xfjr-cfgm

CVSS3: 7.5

github

больше 3 лет назад

BDU:2021-02995

CVSS3: 7.5

fstec

почти 5 лет назад

Уязвимость системы регистрации и аутентификации учетных данных в сфере здравоохранения VerityStream MSOW Solutions, связанная с недостатками защиты служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 58%

0.0036

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

NVD-CWE-Other