CRITICAL🇬🇧 English

CVE-2024-34025

CyberPower PowerPanel Business — zakodowane dane uwierzytelniające

CVSS 9.8v3.1pub. 2024-05-15upd. 2025-08-04

Aplikacja CyberPower PowerPanel Business zawiera zakodowane na stałe w kodzie źródłowym dane uwierzytelniające (hard-coded credentials). Podatność umożliwia atakującemu ominięcie mechanizmu uwierzytelniania i uzyskanie uprawnień administratora.

Pokaż oryginał (EN)

CyberPower PowerPanel business application code contains a hard-coded set of authentication credentials. This could result in an attacker bypassing authentication and gaining administrator privileges.

🤖 Analiza AI
Jak działa

Producent pozostawił w kodzie aplikacji stały, niezmienny zestaw danych uwierzytelniających (CWE-259 — użycie zakodowanego hasła). Atakujący, który pozna lub odgadnie te poświadczenia, może zalogować się do aplikacji z pominięciem normalnego procesu uwierzytelniania. Podatność jest dostępna zdalnie, bez wcześniejszego uwierzytelnienia i bez jakiejkolwiek interakcji ze strony użytkownika, co czyni ją szczególnie niebezpieczną.

Skutki

Atakujący może uzyskać pełne uprawnienia administratora w aplikacji PowerPanel Business, co umożliwia przejęcie kontroli nad zarządzanymi urządzeniami UPS oraz potencjalnie prowadzi do naruszenia poufności, integralności i dostępności infrastruktury.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Aktualizacje dostępne są na stronie CyberPower pod adresem wskazanym w referencjach. Dodatkowo zaleca się ograniczenie dostępu sieciowego do aplikacji PowerPanel Business wyłącznie do zaufanych hostów oraz segmentację sieci dla systemów zarządzania UPS.

Kogo dotyczy

CyberPower PowerPanel Business dla systemu Windows — wersje wskazane w referencjach producenta

Uwagi

Podatność dotyczy systemów ICS/OT (przemysłowe systemy sterowania). CISA opublikowała dedykowany biuletyn ICS Advisory (ICSA-24-123-01) dotyczący tej podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Cyberpower Powerpanel

    APP
    Cyberpower
    ≤ 4.9.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-32053CRITICAL9.8PL ✓ten sam produkt

CyberPower PowerPanel — zakodowane na stałe dane uwierzytelniające (hard-coded credentials)

CVE-2024-33625CRITICAL9.8PL ✓ten sam produkt

CyberPower PowerPanel: zakodowany klucz JWT umożliwia ominięcie uwierzytelnienia

CVE-2024-32047CRITICAL9.8PL ✓ten sam produkt

CyberPower PowerPanel — zakodowane na stałe dane uwierzytelniające w kodzie produkcyjnym

CVE-2024-32735CRITICAL9.8PL ✓ten sam produkt

Brak uwierzytelnienia w REST API CyberPower PowerPanel Enterprise

CVE-2023-25133CRITICAL9.1ten sam produkt

Improper privilege management vulnerability in default.cmd file in PowerPanel Business Local/Remote for Window...

CVE-2024-34025 — CyberPower PowerPanel Business — zakodowane dane uwierzytelniające — CRITICAL 9.8 | CVEbaza.pl