漏洞标题
不安全的身份验证
漏洞描述信息
运行FACSChorus应用程序的操作系统被配置为在用户采取行动时传输哈希的用户身份凭据,而并未充分验证请求的资源的身份。这是通过使用LLMNR、MBT-NS或MDNS来实现的,这将导致NTLMv2哈希发送到本地网络中的恶意实体位置。如果用弱密码进行尝试,这些哈希可以通过 brute force 进行攻击,并可能被破解。这种攻击仅适用于域连接的系统。
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
漏洞类别
认证机制不恰当
漏洞标题
Unsecure Identity Verification
漏洞描述信息
The Operating System hosting the FACSChorus application is configured to allow transmission of hashed user credentials upon user action without adequately validating the identity of the requested resource. This is possible through the use of LLMNR, MBT-NS, or MDNS and will result in NTLMv2 hashes being sent to a malicious entity position on the local network. These hashes can subsequently be attacked through brute force and cracked if a weak password is used. This attack would only apply to domain joined systems.
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N
漏洞类别
认证机制不恰当
漏洞标题
BD FACSChorus 安全漏洞
漏洞描述信息
BD FACSChorus是美国碧迪医疗(BD)公司的一款多通道流式细胞仪系统。 BD FACSChorus 存在安全漏洞,该漏洞源于被配置为允许根据用户操作传输散列用户凭证,而无需充分验证所请求资源的身份。
CVSS信息
N/A
漏洞类别
其他