CRITICAL🇬🇧 English

CVE-2024-30802

Eskalacja uprawnień w Vehicle Management System poprzez login.html

CVSS 9.8v3.1pub. 2024-05-14upd. 2026-04-15

Podatność w Vehicle Management System w wersji 7.31.0.3_20230412 umożliwia nieuprzywilejowanemu atakującemu eskalację uprawnień (privilege escalation) za pośrednictwem komponentu login.html. Ocena CVSS 9.8 wskazuje na krytyczny poziom zagrożenia, ponieważ atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

An issue in Vehicle Management System 7.31.0.3_20230412 allows an attacker to escalate privileges via the login.html component.

🤖 Analiza AI
Jak działa

Atakujący może wykorzystać podatność w komponencie login.html systemu Vehicle Management System do uzyskania wyższego poziomu uprawnień niż mu przysługuje. Wektor ataku jest sieciowy (AV:N), nie wymaga żadnych uprawnień wstępnych (PR:N) ani interakcji ze strony użytkownika (UI:N), co oznacza, że atak może zostać przeprowadzony zdalnie przez dowolną osobę mającą dostęp do interfejsu webowego systemu.

Skutki

Skuteczny atak prowadzi do uzyskania przez atakującego podwyższonych uprawnień w systemie, co może skutkować pełnym przejęciem kontroli nad aplikacją, nieautoryzowanym dostępem do danych pojazdów i użytkowników oraz naruszeniem poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu webowego systemu wyłącznie do zaufanych sieci lub adresów IP poprzez firewall bądź mechanizmy kontroli dostępu.

Kogo dotyczy

Vehicle Management System w wersji 7.31.0.3_20230412

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje
CVE-2024-30802 — Eskalacja uprawnień w Vehicle Management System poprzez login.html — CRITICAL 9.8 | CVEbaza.pl