CVE-2024-31840

An issue was discovered in Italtel Embrace 1.6.4. The web application inserts cleartext passwords in the HTML source code. An authenticated user is able to edit the configuration of the email server. Once the user access the edit function, the web application fills the edit form with the current credentials for the email account, including the cleartext password.
References
Link Resource
https://www.gruppotim.it/it/footer/red-team.html Exploit Third Party Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:italtel:embrace:1.6.4:*:*:*:*:*:*:*

History

26 Jul 2024, 19:12

Type Values Removed Values Added
First Time Italtel embrace
Italtel
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 6.5
CPE cpe:2.3:a:italtel:embrace:1.6.4:*:*:*:*:*:*:*
CWE CWE-319
CWE-312
References () https://www.gruppotim.it/it/footer/red-team.html - () https://www.gruppotim.it/it/footer/red-team.html - Exploit, Third Party Advisory
Summary
  • (es) Se descubrió un problema en Italtel Embrace 1.6.4. La aplicación web inserta contraseñas de texto plano en el código fuente HTML. Un usuario autenticado puede editar la configuración del servidor de correo electrónico. Una vez que el usuario accede a la función de edición, la aplicación web completa el formulario de edición con las credenciales actuales de la cuenta de correo electrónico, incluida la contraseña en texto plano.

21 May 2024, 16:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-05-21 16:15

Updated : 2024-07-26 19:12


NVD link : CVE-2024-31840

Mitre link : CVE-2024-31840

CVE.ORG link : CVE-2024-31840


JSON object : View

Products Affected

italtel

  • embrace
CWE
CWE-312

Cleartext Storage of Sensitive Information

CWE-319

Cleartext Transmission of Sensitive Information