| CVE | N/D |
|---|---|
| Sintesi della consulenza | Alcune versioni di Admin Console consentono l'autenticazione di base tramite connessioni HTTP verso Command Enterprise. |
| Prodotti o componenti | Admin Console versione 5.17, 5.19, 5.20 (compresi tutti i service pack precedenti alle versioni con la correzione) |
| Affrontato nella pubblicazione | La correzione è stata rilasciata in 5.17 SP3, 5.19 SP3, 5.20 SP2. Le versioni inferiori alla 5.17 e superiori alla 5.20 non sono interessate. |
| Gravità | Alto |
| Biglietto | SV-31 |
Descrizione
Quando Admin Console è configurata per connettersi a Command Enterprise Software, le autenticazioni possono avvenire tramite HTTP, anche se è stata configurata una porta HTTPS. Ciò può portare alla divulgazione delle credenziali di accesso a Command Enterprise Software .
Impatto
Se Admin Console viene utilizzata in una rete non protetta, le credenziali di accesso a Command Enterprise Software potrebbero essere divulgate.
Mitigazioni
Assicurarsi di aggiungere ":" e la porta HTTPS di Command Enterprise Software dopo l'indirizzo di Command Enterprise Software nella configurazione di Admin Console. Non utilizzare Admin Console per stabilire una connessione alle telecamere, utilizzando il proxy del registratore.
Soluzione
Scaricare e distribuire le versioni di Admin Console che forniscono la correzione, se la vostra versione è interessata.
Download
Le ultime versioni di Admin Console sono disponibili sul Partner Portal di March Networks https://partners.marchnetworks.com/resource-center/?q=&tags=W1siNzBjMDFiNzQtMzAyOC1lNjExLWJkZjgtMDYxYWY1NjI4OWE1Il1d.
Crediti
March Networks desidera ringraziare CC-Teknologies per aver segnalato questa vulnerabilità.
Revisione
12 ottobre 2021 - Rapporto pubblico iniziale
Esclusione di responsabilità
La valutazione da parte di March Networksdi questa vulnerabilità di sicurezza è subordinata al fatto che i prodotti March Networks siano stati aggiornati al livello di release e/o patch di sicurezza raccomandato e che il sistema sia stato implementato e configurato in conformità alle raccomandazioni di sicurezza March Networks e alle best practice del settore. È RESPONSABILITÀ DEL CLIENTE VALUTARE L'EFFETTO DI QUALSIASI VULNERABILITÀ DI SICUREZZA. Il mancato aggiornamento dei prodotti March Networks e/o la mancata osservanza delle raccomandazioni March Networks o delle best practice del settore possono aumentare il rischio associato a una vulnerabilità di sicurezza. March Networks segue le pratiche più avanzate del settore per affrontare le vulnerabilità di sicurezza dei propri prodotti. Sebbene March Networks non possa garantire che i suoi prodotti siano privi di vulnerabilità di sicurezza, si impegna a fornire aggiornamenti e correzioni di sicurezza per i suoi prodotti supportati, se e quando viene determinata una vulnerabilità di sicurezza elevata che riguarda i prodotti March Networks .