CRITICAL🇬🇧 English

CVE-2023-51573

Voltronic Power ViewPower Pro — pominięcie uwierzytelnienia przez funkcję updateManagerPassword

CVSS 9.8v3.0pub. 2024-04-01upd. 2025-07-07

Podatność w oprogramowaniu Voltronic Power ViewPower Pro umożliwia zdalnym atakującym ominięcie mechanizmu uwierzytelnienia bez posiadania jakichkolwiek poświadczeń. Ze względu na pełny brak wymagań wstępnych i krytyczny wynik CVSS (9.8), stanowi poważne zagrożenie dla każdej instalacji dostępnej z sieci.

Pokaż oryginał (EN)

Voltronic Power ViewPower Pro updateManagerPassword Exposed Dangerous Function Authentication Bypass Vulnerability. This vulnerability allows remote attackers to bypass authentication on affected installations of Voltronic Power ViewPower Pro. Authentication is not required to exploit this vulnerability. The specific flaw exists within the updateManagerPassword function. The issue results from the exposure of a dangerous function. An attacker can leverage this vulnerability to bypass authentication on the system. Was ZDI-CAN-21203.

🤖 Analiza AI
Jak działa

Luka tkwi w funkcji updateManagerPassword, która jest dostępna bez wcześniejszego uwierzytelnienia i realizuje niebezpieczną operację administracyjną. Problem wynika z ekspozycji tej funkcji na zewnątrz bez odpowiedniej kontroli dostępu (CWE-749 — Exposed Dangerous Method or Function). Atakujący może bezpośrednio wywołać tę funkcję przez sieć, omijając wszelkie mechanizmy logowania zaimplementowane w aplikacji.

Skutki

Atakujący uzyskuje możliwość ominięcia uwierzytelnienia w systemie, co może prowadzić do przejęcia kontroli nad aplikacją zarządzającą zasilaniem, a w konsekwencji do nieuprawnionego dostępu, modyfikacji danych oraz naruszenia dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do interfejsu zarządzania ViewPower Pro wyłącznie do zaufanych hostów i sieci wewnętrznych (np. poprzez firewall lub VPN), do czasu wdrożenia poprawki.

Kogo dotyczy

Voltronic Power ViewPower Pro — wersje wskazane w referencjach producenta (doradztwo ZDI-23-1879)

Uwagi

Podatność została zgłoszona w ramach programu Zero Day Initiative pod identyfikatorem ZDI-CAN-21203 i opublikowana jako ZDI-23-1879.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Voltronicpower Viewpower

    APP
    Voltronicpower
    2.0-22165
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2023-51576CRITICAL9.8PL ✓ten sam produkt

RCE przez deserializację w Voltronic Power ViewPower (port TCP 51099)

CVE-2023-51581CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez odsłoniętą niebezpieczną metodę klasy MacMonitorConsole

CVE-2023-51574CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — pominięcie uwierzytelnienia przez exposed dangerous method

CVE-2023-51575CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez niechronioną metodę w klasie MonitorConsole

CVE-2023-51582CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez wystawioną niebezpieczną metodę LinuxMonitorConsole