CVE-2025-58385 : Usurpation d’identité, vol de données
Contexte
Vulnérabilité affectant les versions de Watchdoc antérieures à 6.1.1 permettant l’usurpation d’identité des utilisateurs dans le cas d’utilisation de codes PUK pour la connexion.
Dans le cas où les codes PUKs des utilisateurs de l’Active Directory sont générés de manière automatique par Watchdoc, il est possible de comprendre l’algorithme de génération et le copier pour générer les PUK de tous les utilisateurs de l’AD.
Impacts
Atteinte à l’intégrité des informations : possibilité d’usurper l’identité de n’importe quel utilisateur, accéder à sa file d’impression ou scanner en son nom.
Propositions de mitigation ou de correction
Mitigation : utiliser un attribut de l’AD contenant un code PUK aléatoire.
Correction : remplacer l’authentification code puk par l’authentification login/code pin.
Description CVE
| Type de vulnérabilité | CWE - CWE-798: Use of Hard-coded Credentials (4.16)CWE - CWE-1241: Use of Predictable Algorithm in Random Number Generator (4.16) |
| Produit(s) concerné(s) et version(s) | Watchdoc au moins jusqu’à 6.1.0.5094 |
| Version(s) corrigée(s) | Watchdoc 6.1.1 |
| Type d’attaque | Locale |
| Impact de la vulnérabilité | Impersonnation des utilisateurs (spoofing), Atteinte à la confidentialité |
| Vecteur CVSS4.0 | CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N |
| Score CVSS4.0 | CVSS v4.0 Score: 6.9 |