One Article Review
Accueil - L'article:
Source CVE.webp CVE Liste
Identifiant 8400393
Date de publication 2023-10-25 18:17:33 (vue: 2023-10-25 22:08:13)
Titre CVE-2023-45321
Texte L'application client Android, lorsqu'elle est inscrite avec la méthode Define 1 (l'utilisateur insère manuellement l'adresse IP du serveur), utilisez le protocole HTTP pour récupérer des informations sensibles (adresse IP et informations d'identification pour se connecter à une entité de courtier MQTT distante) au lieu de HTTPS et de cette fonctionnalitén'est pas configurable par l'utilisateur.En raison du manque de cryptage de HTTP, ce problème permet à un attaquant placé dans le même réseau de sous-réseau du périphérique HMI pour intercepter le nom d'utilisateur et le mot de passe nécessaires pour s'authentifier avec le serveur MQTT chargé d'implémenter le protocole de gestion à distance.
The Android Client application, when enrolled with the define method 1 (the user manually inserts the server ip address), use HTTP protocol to retrieve sensitive information (ip address and credentials to connect to a remote MQTT broker entity) instead of HTTPS and this feature is not configurable by the user. Due to the lack of encryption of HTTP,this issue allows an attacker placed in the same subnet network of the HMI device to intercept username and password necessary to authenticate to the MQTT server responsible to implement the remote management protocol.
Envoyé Oui
Condensat 2023 45321 address allows android application attacker authenticate broker client configurable connect credentials cve define device due encryption enrolled entity feature hmi http https implement information inserts instead intercept issue lack management manually method mqtt necessary network not password placed protocol remote responsible retrieve same sensitive server subnet use user username when
Tags
Stories
Notes
Move


L'article ne semble pas avoir été repris aprés sa publication.


L'article ne semble pas avoir été repris sur un précédent.
My email: