CRITICAL🇬🇧 English

CVE-2024-43692

Pominięcie uwierzytelnienia w ProGauge MAGLINK LX Console

CVSS 9.3v4.0pub. 2024-09-25upd. 2024-10-01

Podatność w konsolach ProGauge MAGLINK LX i LX4 umożliwia nieuwierzytelnionemu atakującemu bezpośredni dostęp do chronionych podstron interfejsu webowego z pełnymi uprawnieniami. Jest to podatność krytyczna, ponieważ nie wymaga żadnych danych uwierzytelniających ani interakcji użytkownika.

Pokaż oryginał (EN)

An attacker can directly request the ProGauge MAGLINK LX CONSOLE resource sub page with full privileges by requesting the URL directly.

🤖 Analiza AI
Jak działa

Atakujący może ominąć mechanizm uwierzytelnienia (CWE-288) poprzez bezpośrednie wywołanie adresu URL chronionego zasobu w interfejsie webowym konsoli. System nie weryfikuje poprawnie, czy żądanie pochodzi od uwierzytelnionego użytkownika, przyznając dostęp z pełnymi uprawnieniami każdemu, kto zna lub odgadnie ścieżkę URL. Atak jest możliwy zdalnie przez sieć bez żadnych dodatkowych warunków wstępnych.

Skutki

Atakujący uzyskuje pełny dostęp do funkcji administracyjnych konsoli zarządzającej systemem paliwowym bez konieczności logowania, co może umożliwić manipulację konfiguracją urządzenia lub odczyt wrażliwych danych operacyjnych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do interfejsu webowego konsoli wyłącznie do zaufanych hostów oraz izolację urządzeń OT/ICS od sieci publicznych za pomocą firewall.

Kogo dotyczy

Urządzenia Dover Fueling Solutions ProGauge MAGLINK LX Console oraz ProGauge MAGLINK LX4 Console (firmware i oprogramowanie konsoli) — konkretne wersje wskazane w referencjach producenta (poradnik CISA ICSA-24-268-04)

Uwagi

Podatność dotyczy systemów przemysłowych (ICS) klasy OT — konsol zarządzania dystrybutorami paliwa. Szczegółowe informacje techniczne dostępne w poradniku CISA ICS Advisory ICSA-24-268-04.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Doverfuelingsolutions Progauge Maglink Lx4 Console

    HW
    Doverfuelingsolutions
    wszystkie wersje
  • Doverfuelingsolutions Progauge Maglink Lx4 Console Firmware

    OS
    Doverfuelingsolutions
    ≤ 4.17.9e
  • Doverfuelingsolutions Progauge Maglink Lx Console

    HW
    Doverfuelingsolutions
    wszystkie wersje
  • Doverfuelingsolutions Progauge Maglink Lx Console Firmware

    OS
    Doverfuelingsolutions
    ≤ 3.4.2.2.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-43423CRITICAL9.3PL ✓ten sam produkt

Zakodowane na stałe hasło konta administratora w ProGauge MAGLINK LX/LX4 Console

CVE-2024-43693CRITICAL10.0PL ✓ten sam produkt

Command injection w ProGauge MAGLINK LX Console — zdalne wykonanie poleceń

CVE-2024-45066CRITICAL10.0PL ✓ten sam produkt

Command injection w konsolach ProGauge MAGLINK LX/LX4 — zdalne wykonanie poleceń

CVE-2024-41725HIGH8.7ten sam produkt

ProGauge MAGLINK LX CONSOLE does not have sufficient filtering on input fields that are used to render pages ...

CVE-2024-45373HIGH8.7ten sam produkt

Once logged in to ProGauge MAGLINK LX4 CONSOLE, a valid user can change their privileges to administrator.