Поток учетных данных пароля владельца ресурса (ROPC) типа предоставления OAuth по-прежнему используется веб-сервисами, используемыми функциями WebVue, WebScheduler, TouchVue и Snapvue PcVue в версиях с 12.0.0 по 16.3.3, несмотря на то, что он устарел. Это может позволить удаленному злоумышленнику украсть учетные данные пользователя.
Показать оригинальное описание (EN)
The OAuth grant type Resource Owner Password Credentials (ROPC) flow is still used by the werbservices used by the WebVue, WebScheduler, TouchVue and Snapvue features of PcVue in version 12.0.0 through 16.3.3 included despite being deprecated. It might allow a remote attacker to steal user credentials.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0