CRITICAL🇬🇧 English

CVE-2023-51576

RCE przez deserializację w Voltronic Power ViewPower (port TCP 51099)

CVSS 9.8v3.0pub. 2024-05-03upd. 2025-07-09

Krytyczna podatność w oprogramowaniu Voltronic Power ViewPower umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na atakowanym systemie. Ze względu na brak wymaganego uwierzytelnienia oraz uprawnienia SYSTEM, zagrożenie jest oceniane jako krytyczne.

Pokaż oryginał (EN)

Voltronic Power ViewPower Deserialization of Untrusted Data Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Voltronic Power ViewPower. Authentication is not required to exploit this vulnerability. The specific flaw exists within the RMI interface, which listens on TCP port 51099 by default. The issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data. An attacker can leverage this vulnerability to execute code in the context of SYSTEM. Was ZDI-CAN-22012.

🤖 Analiza AI
Jak działa

Podatność dotyczy interfejsu RMI (Remote Method Invocation), który domyślnie nasłuchuje na porcie TCP 51099. Aplikacja nie przeprowadza odpowiedniej walidacji danych dostarczanych przez użytkownika, co pozwala na deserializację niezaufanych danych (CWE-502). Atakujący może wysłać specjalnie spreparowany payload do tego interfejsu bez konieczności wcześniejszego uwierzytelnienia, co skutkuje wykonaniem kodu w kontekście konta SYSTEM.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnego kodu z uprawnieniami SYSTEM na zaatakowanej maszynie, co oznacza pełne przejęcie kontroli nad systemem operacyjnym, w tym dostęp do danych, możliwość instalacji złośliwego oprogramowania oraz lateral movement w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo, jako środek zaradczy, zaleca się ograniczenie dostępu sieciowego do portu TCP 51099 wyłącznie do zaufanych hostów przy użyciu firewalla lub reguł ACL, co ograniczy powierzchnię ataku do momentu wdrożenia aktualizacji.

Kogo dotyczy

Voltronic Power ViewPower — wersje wskazane w referencjach producenta oraz w poradniku Zero Day Initiative (ZDI-23-1882)

Uwagi

Podatność została zgłoszona w ramach programu Zero Day Initiative pod identyfikatorem ZDI-CAN-22012, a poradnik opublikowano jako ZDI-23-1882.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Voltronicpower Viewpower

    APP
    Voltronicpower
    1.04.21353
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2023-51581CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez odsłoniętą niebezpieczną metodę klasy MacMonitorConsole

CVE-2023-51582CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez wystawioną niebezpieczną metodę LinuxMonitorConsole

CVE-2023-51575CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez niechronioną metodę w klasie MonitorConsole

CVE-2023-51574CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — pominięcie uwierzytelnienia przez exposed dangerous method

CVE-2023-51583CRITICAL9.8PL ✓ten sam produkt

RCE w Voltronic Power ViewPower — odsłonięta niebezpieczna metoda UpsScheduler