漏洞标题
Red Lion Crimson未正当地中和空字符或NUL字符
漏洞描述信息
## 漏洞概述
Crimson 3.2 Windows版配置工具允许具有管理员权限的用户设置新密码并下载安全配置到设备。若密码包含百分比(%)字符,则可能会生成无效值,如果遇到NUL字符,字符串将被截断。简化后的密码未被管理员检测到时,设备将因为更容易被破解的凭证而处于脆弱状态。
## 影响版本
- Crimson 3.2
## 细节
当用户通过Crimson 3.2 Windows配置工具设置包含百分比(%)字符的密码时,该工具会生成无效值,可能在遇到NUL字符时截断密码字符串。这将导致密码被简化,如果此问题未被管理员识别,则可能导致设备被留有更易被破解的凭证。
## 影响
- 设备可能会因为被简化且未经检测的密码变得脆弱。
- 通过Crimson系统web服务器输入的密码不受此漏洞影响。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H
漏洞类别
弱口令要求
漏洞标题
Red Lion Crimson Improper Neutralization of Null Byte or NUL Character
漏洞描述信息
The Crimson 3.2 Windows-based configuration tool allows users with administrative access to define new passwords for users and to download the resulting security configuration to a device. If such a password contains the percent (%) character, invalid values will be included, potentially truncating the string if a NUL is encountered. If the simplified password is not detected by the administrator, the device might be left in a vulnerable state as a result of more-easily compromised credentials. Note that passwords entered via the Crimson system web server do not suffer from this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
空字节或NULL字符转义处理不恰当
漏洞标题
Red Lion Controls Crimson 安全漏洞
漏洞描述信息
Red Lion Controls Crimson是美国红狮控制(Red Lion Controls)公司的一套人机界面编程软件。 Red Lion Controls Crimson 3.2 Windows-based configuration tool存在安全漏洞,该漏洞源于允许具有管理访问权限的攻击者为用户定义新密码,并将安全配置下载到设备。
CVSS信息
N/A
漏洞类别
其他