CRITICAL🇬🇧 English

CVE-2024-29844

Domyślne dane logowania w Evolution Controller 2.x umożliwiają pełen dostęp administracyjny

CVSS 9.8v3.1pub. 2024-04-15upd. 2025-12-10

Evolution Controller 2.x posiada domyślne dane uwierzytelniające na interfejsie webowym, które nie są wymuszane do zmiany po instalacji ani przy pierwszym logowaniu. Pozwala to nieuwierzytelnionemu atakującemu na natychmiastowe uzyskanie pełnego dostępu administracyjnego do serwera.

Pokaż oryginał (EN)

Default credentials on the Web Interface of Evolution Controller 2.x allows anyone to log in to the server directly to perform administrative functions. Upon installation or upon first login, the application does not ask the user to change the password. There is no warning or prompt to ask the user to change the default password.

🤖 Analiza AI
Jak działa

Aplikacja nie wymaga od użytkownika zmiany domyślnego hasła podczas instalacji ani przy pierwszym uruchomieniu. Nie jest wyświetlane żadne ostrzeżenie ani monit o zmianę domyślnych poświadczeń. W efekcie każda osoba znająca fabryczne dane logowania może zalogować się bezpośrednio do interfejsu webowego i wykonywać funkcje administracyjne bez żadnych dodatkowych barier uwierzytelniania.

Skutki

Atakujący uzyskuje pełen dostęp administracyjny do systemu Evolution Controller, co umożliwia mu odczyt i modyfikację konfiguracji, a także potencjalne naruszenie poufności, integralności i dostępności kontrolowanego środowiska.

Mitygacja

Należy niezwłocznie zmienić domyślne hasło administracyjne na silne, unikalne hasło oraz zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu do interfejsu webowego wyłącznie do zaufanych adresów IP za pomocą firewall oraz monitorowanie nieautoryzowanych prób logowania.

Kogo dotyczy

Cs-Technologies Evolution Controller w wersji 2.x z domyślną konfiguracją interfejsu webowego

Uwagi

Podatność została ujawniona przez firmę Direct Cyber w ramach zbiorczego raportu obejmującego CVE-2024-29836 do CVE-2024-29844, dotyczącego wielu podatności w Evolution Controller.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Cs Technologies Evolution

    APP
    Cs-Technologies
    ≤ 2.04.560
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-29836CRITICAL9.8PL ✓ten sam produkt

Auth Bypass w Evolution Controller — nieautoryzowane przejęcie kont

CVE-2024-29837HIGH8.8ten sam produkt

The Web interface of Evolution Controller Versions 2.04.560.31.03.2024 and below uses poor session management,...

CVE-2024-29838HIGH7.5ten sam produkt

The Web interface of Evolution Controller Versions 2.04.560.31.03.2024 and below does not proper sanitize user...

CVE-2024-29839HIGH7.5ten sam produkt

The Web interface of Evolution Controller Versions 2.04.560.31.03.2024 and below contains poorly configured ac...

CVE-2024-29840HIGH7.5ten sam produkt

The Web interface of Evolution Controller Versions 2.04.560.31.03.2024 and below contains poorly configured ac...