Symantec – CVE-2022-25626

Date de publication :

Une faille dans Symantec Identity Manager permet à un attaquant non authentifié de visualiser certaines pages de l’interface de gestion du logiciel.

CVE-2022-25626

[Score CVSS v3.1: 8.6]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Contournement de la politique de sécurité.

Atteinte à la confidentialité des données.

Exploitation

La vulnérabilité exploitée est du type   

CWE-287: Improper Authentication

Détails sur l’exploitation

  • Vecteur d’attaque : Réseau.

  • Complexité de l’attaque : Faible.

  • Privilèges nécessaires pour réaliser l’attaque : Aucun.

  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Systèmes ou composants affectés

  • Symantec Identity Manager 14.4
  • Symantec Identity Manager 14.3

Solutions ou recommandations

Appliquer les correctifs suivants :

Identity Manager 14.4.1. Des informations complémentaires sont disponibles ici.

Identity Manager 14.3 CP3. Des informations complémentaires sont disponibles ici.

Liens