Platforma monitoringu pojazdów CMSV6 zawiera podatność wynikającą z niebezpiecznych uprawnień powiązanych z domyślnym hasłem, umożliwiającą zdalną eskalację uprawnień. Krytyczny poziom CVSS 9.8 oznacza, że atakujący nieuwierzytelniony może przejąć kontrolę nad systemem bez żadnej interakcji ze strony użytkownika.
▸ Pokaż oryginał (EN)
Insecure Permissions vulnerability in Vehicle Monitoring platform system CMSV6 v.7.31.0.2 through v.7.32.0.3 allows a remote attacker to escalate privileges via the default password component.
Podatność wynika z zastosowania domyślnego hasła (weak/default password) w komponencie systemu CMSV6. Atakujący zdalny, bez posiadania żadnych uprawnień, może wykorzystać to domyślne hasło do uwierzytelnienia się w systemie i uzyskania podwyższonych uprawnień. Klasyfikacja CWE-1393 wskazuje na użycie domyślnych, słabych poświadczeń, które nie zostały zmienione przez producenta lub administratora.
Atakujący może dokonać pełnej eskalacji uprawnień (privilege escalation) w systemie, uzyskując dostęp do poufnych danych oraz możliwość modyfikacji lub zniszczenia danych platformy monitoringu pojazdów. W przypadku skutecznego ataku możliwe jest naruszenie poufności, integralności i dostępności systemu.
Należy niezwłocznie zmienić domyślne hasło w komponencie systemu CMSV6 oraz zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do panelu administracyjnego platformy oraz wdrożenie polityki silnych haseł.
Platforma monitoringu pojazdów CMSV6 w wersjach od v.7.31.0.2 do v.7.32.0.3.
Szczegóły techniczne dotyczące podatności zostały opublikowane przez badacza whgojp w repozytorium GitHub (github.com/whgojp/cve-reports). Tagi podatności wskazują na LPE (Local Privilege Escalation), jednak wektor CVSS (AV:N) sugeruje możliwość zdalnego wykorzystania.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H