CRITICAL🇬🇧 English

CVE-2024-32053

CyberPower PowerPanel — zakodowane na stałe dane uwierzytelniające (hard-coded credentials)

CVSS 9.8v3.1pub. 2024-05-15upd. 2025-07-30

Platforma CyberPower PowerPanel zawiera zakodowane na stałe dane uwierzytelniające (hard-coded credentials) używane do logowania do bazy danych, innych usług oraz chmury. Podatność jest krytyczna, ponieważ atakujący bez żadnego uwierzytelnienia może uzyskać dostęp do chronionych zasobów z uprawnieniami aplikacji PowerPanel Business.

Pokaż oryginał (EN)

Hard-coded credentials are used by the  CyberPower PowerPanel platform to authenticate to the database, other services, and the cloud. This could result in an attacker gaining access to services with the privileges of a Powerpanel business application.

🤖 Analiza AI
Jak działa

W oprogramowaniu CyberPower PowerPanel dane uwierzytelniające (login i hasło) są trwale wbudowane w kod aplikacji lub konfigurację (CWE-798 — Use of Hard-coded Credentials). Oznacza to, że każda instalacja produktu posiada identyczne, niezmienne dane dostępowe do bazy danych, wewnętrznych usług i infrastruktury chmurowej. Atakujący, który pozyska te dane (np. poprzez analizę plików binarnych lub konfiguracyjnych), może ich użyć do bezpośredniego uwierzytelnienia się w dowolnej instancji produktu, bez konieczności posiadania własnych uprawnień.

Skutki

Atakujący zdalnie i bez uwierzytelnienia może uzyskać pełny dostęp (odczyt, zapis, usuwanie danych) do bazy danych, powiązanych usług oraz zasobów chmurowych z uprawnieniami aplikacji PowerPanel Business, co może prowadzić do naruszenia poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacja dostępna na stronie CyberPower dla produktu PowerPanel Business for Windows. Szczegóły dotyczące wersji poprawionej zawiera komunikat CISA ICS Advisory ICSA-24-123-01.

Kogo dotyczy

CyberPower PowerPanel Business (wersje wskazane w referencjach producenta oraz w komunikacie ICS-CERT ICSA-24-123-01)

Uwagi

Podatność zgłoszona w ramach koordynowanego komunikatu CISA ICS Advisory ICSA-24-123-01, opublikowanego 2024-05-02. Dotyczy środowisk przemysłowych i infrastruktury krytycznej (systemy zarządzania zasilaniem UPS).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Cyberpower Powerpanel

    APP
    Cyberpower
    ≤ 4.9.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-33625CRITICAL9.8PL ✓ten sam produkt

CyberPower PowerPanel: zakodowany klucz JWT umożliwia ominięcie uwierzytelnienia

CVE-2024-34025CRITICAL9.8PL ✓ten sam produkt

CyberPower PowerPanel Business — zakodowane dane uwierzytelniające

CVE-2024-32047CRITICAL9.8PL ✓ten sam produkt

CyberPower PowerPanel — zakodowane na stałe dane uwierzytelniające w kodzie produkcyjnym

CVE-2024-32735CRITICAL9.8PL ✓ten sam produkt

Brak uwierzytelnienia w REST API CyberPower PowerPanel Enterprise

CVE-2023-25133CRITICAL9.1ten sam produkt

Improper privilege management vulnerability in default.cmd file in PowerPanel Business Local/Remote for Window...

CVE-2024-32053 — CyberPower PowerPanel — zakodowane na stałe dane uwierzytelniające (hard-coded credentials) — CRITICAL 9.8 | CVEbaza.pl