MikroTik Winbox bis 3.22 Configuration File settings.cfg.viw Credentials Information Disclosure

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
4.4$0-$5k0.00

Eine Schwachstelle wurde in MikroTik Winbox bis 3.22 entdeckt. Sie wurde als problematisch eingestuft. Hierbei geht es um ein unbekannter Ablauf der Datei settings.cfg.viw der Komponente Configuration File. Durch Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Credentials) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-260. Auswirken tut sich dies auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:

MikroTik WinBox 3.22 and below stores the user's cleartext password in the settings.cfg.viw configuration file when the Keep Password field is set and no Master Password is set. Keep Password is set by default and, by default Master Password is not set. An attacker with access to the configuration file can extract a username and password to gain access to the router.

Die Schwachstelle wurde am 15.04.2020 herausgegeben. Die Verwundbarkeit wird seit dem 06.01.2020 mit der eindeutigen Identifikation CVE-2020-5721 gehandelt. Umgesetzt werden muss der Angriff lokal. Das Ausnutzen erfordert eine einfache Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Produktinfoedit

Hersteller

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 4.4
VulDB Meta Temp Score: 4.4

VulDB Base Score: 3.3
VulDB Temp Score: 3.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 5.5
NVD Vector: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfoedit

Name: Credentials
Klasse: Information Disclosure / Credentials
CWE: CWE-260
ATT&CK: Unbekannt

Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔍
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Timelineinfoedit

06.01.2020 🔍
15.04.2020 +100 Tage 🔍
16.04.2020 +1 Tage 🔍
16.04.2020 +0 Tage 🔍

Quelleninfoedit

Status: Nicht definiert

CVE: CVE-2020-5721 (🔍)

Eintraginfoedit

Erstellt: 16.04.2020 14:35
Aktualisierung: 16.04.2020 14:40
Anpassungen: (17) vulnerability_cwe vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a source_cve_assigned source_cve_nvd_summary
Komplett: 🔍

Kommentare

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!