CRITICAL🇬🇧 English

CVE-2024-32047

CyberPower PowerPanel — zakodowane na stałe dane uwierzytelniające w kodzie produkcyjnym

CVSS 9.8v3.1pub. 2024-05-15upd. 2025-07-30

W kodzie produkcyjnym aplikacji CyberPower PowerPanel wykryto zakodowane na stałe (hard-coded) dane uwierzytelniające przeznaczone dla serwera testowego. Podatność może umożliwić nieuwierzytelnionemu atakującemu zdalny dostęp do serwera testowego lub produkcyjnego.

Pokaż oryginał (EN)

Hard-coded credentials for the CyberPower PowerPanel test server can be found in the production code. This might result in an attacker gaining access to the testing or production server.

🤖 Analiza AI
Jak działa

Podatność (CWE-489) polega na tym, że kod przeznaczony wyłącznie do środowiska testowego — zawierający statycznie wbudowane dane uwierzytelniające — trafił do wersji produkcyjnej oprogramowania. Atakujący, który odkryje te poświadczenia (np. poprzez analizę kodu binarnego lub źródłowego), może użyć ich do uwierzytelnienia się na serwerze bez znajomości właściwych haseł. Ponieważ dane te są identyczne dla wszystkich instalacji, atak może być przeprowadzony przez dowolną osobę mającą dostęp do plików aplikacji.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do serwera testowego lub produkcyjnego zarządzającego zasilaniem UPS, co potencjalnie prowadzi do kompromitacji poufności, integralności oraz dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje o wersjach naprawionych dostępne są w poradniku CISA ICS Advisory ICSA-24-123-01 oraz na stronie pobierania CyberPower PowerPanel Business for Windows.

Kogo dotyczy

CyberPower PowerPanel — wersje wskazane w referencjach producenta (ICS Advisory ICSA-24-123-01)

Uwagi

Podatność zgłoszona przez CISA w ramach ICS Advisory ICSA-24-123-01 z dnia publikacji 2024-05-15, dotyczącego systemów ICS/SCADA zarządzających infrastrukturą zasilania.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Cyberpower Powerpanel

    APP
    Cyberpower
    ≤ 4.9.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-33625CRITICAL9.8PL ✓ten sam produkt

CyberPower PowerPanel: zakodowany klucz JWT umożliwia ominięcie uwierzytelnienia

CVE-2024-34025CRITICAL9.8PL ✓ten sam produkt

CyberPower PowerPanel Business — zakodowane dane uwierzytelniające

CVE-2024-32053CRITICAL9.8PL ✓ten sam produkt

CyberPower PowerPanel — zakodowane na stałe dane uwierzytelniające (hard-coded credentials)

CVE-2024-32735CRITICAL9.8PL ✓ten sam produkt

Brak uwierzytelnienia w REST API CyberPower PowerPanel Enterprise

CVE-2023-25133CRITICAL9.1ten sam produkt

Improper privilege management vulnerability in default.cmd file in PowerPanel Business Local/Remote for Window...