CVE-2024-45165

An issue was discovered in UCI IDOL 2 (aka uciIDOL or IDOL2) through 2.12. Data is sent between client and server with encryption. However, the key is derived from the string "(c)2007 UCI Software GmbH B.Boll" (without quotes). The key is both static and hardcoded. With access to messages, this results in message decryption and encryption by an attacker. Thus, it enables passive and active man-in-the-middle attacks.
Configurations

No configuration.

History

31 Oct 2024, 19:35

Type Values Removed Values Added
CWE CWE-798
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 5.3

22 Aug 2024, 12:48

Type Values Removed Values Added
Summary
  • (es) Se descubrió un problema en UCI IDOL 2 (también conocido como uciIDOL o IDOL2) hasta 2.12. Los datos se envían entre el cliente y el servidor con cifrado. Sin embargo, la clave se deriva de la cadena "(c)2007 UCI Software GmbH B.Boll" (sin comillas). La clave es estática y está codificada. Con el acceso a los mensajes, esto da como resultado que un atacante descifre y cifre los mensajes. Por lo tanto, permite ataques de intermediario pasivos y activos.

22 Aug 2024, 04:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-08-22 04:15

Updated : 2024-10-31 19:35


NVD link : CVE-2024-45165

Mitre link : CVE-2024-45165

CVE.ORG link : CVE-2024-45165


JSON object : View

Products Affected

No product.

CWE
CWE-798

Use of Hard-coded Credentials