CRITICAL🇬🇧 English

CVE-2024-29666

Podatność privilege escalation w platformie monitoringu pojazdów CMSV6

CVSS 9.8v3.1pub. 2024-03-25upd. 2026-04-15

Platforma monitoringu pojazdów CMSV6 zawiera podatność wynikającą z niebezpiecznych uprawnień powiązanych z domyślnym hasłem, umożliwiającą zdalną eskalację uprawnień. Krytyczny poziom CVSS 9.8 oznacza, że atakujący nieuwierzytelniony może przejąć kontrolę nad systemem bez żadnej interakcji ze strony użytkownika.

Pokaż oryginał (EN)

Insecure Permissions vulnerability in Vehicle Monitoring platform system CMSV6 v.7.31.0.2 through v.7.32.0.3 allows a remote attacker to escalate privileges via the default password component.

🤖 Analiza AI
Jak działa

Podatność wynika z zastosowania domyślnego hasła (weak/default password) w komponencie systemu CMSV6. Atakujący zdalny, bez posiadania żadnych uprawnień, może wykorzystać to domyślne hasło do uwierzytelnienia się w systemie i uzyskania podwyższonych uprawnień. Klasyfikacja CWE-1393 wskazuje na użycie domyślnych, słabych poświadczeń, które nie zostały zmienione przez producenta lub administratora.

Skutki

Atakujący może dokonać pełnej eskalacji uprawnień (privilege escalation) w systemie, uzyskując dostęp do poufnych danych oraz możliwość modyfikacji lub zniszczenia danych platformy monitoringu pojazdów. W przypadku skutecznego ataku możliwe jest naruszenie poufności, integralności i dostępności systemu.

Mitygacja

Należy niezwłocznie zmienić domyślne hasło w komponencie systemu CMSV6 oraz zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do panelu administracyjnego platformy oraz wdrożenie polityki silnych haseł.

Kogo dotyczy

Platforma monitoringu pojazdów CMSV6 w wersjach od v.7.31.0.2 do v.7.32.0.3.

Uwagi

Szczegóły techniczne dotyczące podatności zostały opublikowane przez badacza whgojp w repozytorium GitHub (github.com/whgojp/cve-reports). Tagi podatności wskazują na LPE (Local Privilege Escalation), jednak wektor CVSS (AV:N) sugeruje możliwość zdalnego wykorzystania.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje