CRITICAL🇬🇧 English

CVE-2023-51574

Voltronic Power ViewPower — pominięcie uwierzytelnienia przez exposed dangerous method

CVSS 9.8v3.0pub. 2024-05-03upd. 2025-07-09

Podatność w aplikacji Voltronic Power ViewPower umożliwia zdalnym atakującym ominięcie mechanizmu uwierzytelnienia bez posiadania jakichkolwiek poświadczeń. Ze względu na krytyczny wynik CVSS (9.8) i brak wymagań wstępnych stanowi poważne zagrożenie dla systemów zarządzania zasilaczami UPS.

Pokaż oryginał (EN)

Voltronic Power ViewPower updateManagerPassword Exposed Dangerous Method Authentication Bypass Vulnerability. This vulnerability allows remote attackers to bypass authentication on affected installations of Voltronic Power ViewPower. Authentication is not required to exploit this vulnerability. The specific flaw exists within the updateManagerPassword method. The issue results from the exposure of a dangerous function. An attacker can leverage this vulnerability to bypass authentication on the system. Was ZDI-CAN-22010.

🤖 Analiza AI
Jak działa

Błąd dotyczy metody updateManagerPassword, która jest dostępna bez uwierzytelnienia i naraża na użycie niebezpiecznej funkcji (CWE-749 — Exposed Dangerous Method or Function). Atakujący może wywołać tę metodę zdalnie przez sieć, bez konieczności podawania danych logowania. Pozwala to na manipulację hasłem menedżera systemu i tym samym całkowite obejście mechanizmu kontroli dostępu.

Skutki

Atakujący może przejąć pełną kontrolę nad systemem zarządzania zasilaniem poprzez nieautoryzowaną zmianę hasła menedżera, co prowadzi do utraty poufności, integralności i dostępności chronionej instalacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu sieciowego do interfejsu ViewPower wyłącznie do zaufanych hostów oraz monitorowanie nieautoryzowanych prób dostępu do metody updateManagerPassword.

Kogo dotyczy

Voltronic Power ViewPower — wersje wskazane w referencjach producenta (szczegóły w poradniku ZDI-23-1880)

Uwagi

Podatność została zgłoszona w ramach programu Zero Day Initiative pod identyfikatorem ZDI-CAN-22010 i opublikowana jako ZDI-23-1880.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Voltronicpower Viewpower

    APP
    Voltronicpower
    1.04.21353
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2023-51581CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez odsłoniętą niebezpieczną metodę klasy MacMonitorConsole

CVE-2023-51582CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez wystawioną niebezpieczną metodę LinuxMonitorConsole

CVE-2023-51576CRITICAL9.8PL ✓ten sam produkt

RCE przez deserializację w Voltronic Power ViewPower (port TCP 51099)

CVE-2023-51575CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez niechronioną metodę w klasie MonitorConsole

CVE-2023-51583CRITICAL9.8PL ✓ten sam produkt

RCE w Voltronic Power ViewPower — odsłonięta niebezpieczna metoda UpsScheduler