Krytyczna podatność w oprogramowaniu Voltronic Power ViewPower umożliwia zdalnym atakującym wykonanie dowolnego kodu bez konieczności uwierzytelnienia. Ze względu na brak wymagań wstępnych po stronie atakującego stanowi poważne zagrożenie dla każdej instalacji dostępnej z sieci.
▸ Pokaż oryginał (EN)
Voltronic Power ViewPower LinuxMonitorConsole Exposed Dangerous Method Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Voltronic Power ViewPower. Authentication is not required to exploit this vulnerability. The specific flaw exists within the LinuxMonitorConsole class. The issue results from an exposed dangerous method. An attacker can leverage this vulnerability to execute code in the context of the current user. Was ZDI-CAN-22035.
Podatność wynika z wystawienia niebezpiecznej metody w klasie LinuxMonitorConsole (CWE-749 — Exposed Dangerous Method or Function). Atakujący może zdalnie wywołać tę metodę bez podawania jakichkolwiek poświadczeń. Skutkuje to wykonaniem przez aplikację arbitralnego kodu w kontekście aktualnie zalogowanego użytkownika systemowego.
Atakujący może zdalnie wykonać dowolny kod na podatnej instalacji (RCE), co prowadzi do pełnego przejęcia kontroli nad systemem, w tym naruszenia poufności, integralności i dostępności danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu sieciowego do interfejsu aplikacji ViewPower przy użyciu firewall do zaufanych hostów oraz monitorowanie aktywności na porcie usługi.
Voltronic Power ViewPower — wersje wskazane w referencjach producenta (dotyczy instalacji na systemie Linux z komponentem LinuxMonitorConsole)
Podatność została zgłoszona w ramach programu Zero Day Initiative pod identyfikatorem ZDI-CAN-22035 i opublikowana jako ZDI-23-1887.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HVoltronicpower Viewpower
APPVoltronicpower1.04.21353
Powiązane podatności
RCE przez deserializację w Voltronic Power ViewPower (port TCP 51099)
Voltronic Power ViewPower — RCE przez odsłoniętą niebezpieczną metodę klasy MacMonitorConsole
Voltronic Power ViewPower — RCE przez niechronioną metodę w klasie MonitorConsole
Voltronic Power ViewPower — pominięcie uwierzytelnienia przez exposed dangerous method
RCE w Voltronic Power ViewPower — odsłonięta niebezpieczna metoda UpsScheduler