CRITICAL🇬🇧 English

CVE-2024-45066

Command injection w konsolach ProGauge MAGLINK LX/LX4 — zdalne wykonanie poleceń

CVSS 10.0v4.0pub. 2024-09-25upd. 2024-10-01

Podatność typu command injection w konsolach Dover Fueling Solutions ProGauge MAGLINK LX i LX4 umożliwia zdalnemu atakującemu wykonanie dowolnych poleceń systemowych bez uwierzytelnienia. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko, a urządzenia te stosowane są w infrastrukturze stacji paliwowych.

Pokaż oryginał (EN)

A specially crafted POST request to the ProGauge MAGLINK LX CONSOLE IP sub-menu can allow a remote attacker to inject arbitrary commands.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane żądanie HTTP POST do podmenu konfiguracji IP w interfejsie webowym konsoli ProGauge MAGLINK LX. Dane wejściowe przesłane w tym żądaniu nie są odpowiednio walidowane ani filtrowane, co pozwala na wstrzyknięcie i wykonanie arbitralnych poleceń systemowych (CWE-77: Improper Neutralization of Special Elements used in a Command). Atak nie wymaga posiadania konta ani żadnej formy uwierzytelnienia, a jego przeprowadzenie nie wymaga interakcji ze strony użytkownika.

Skutki

Atakujący uzyskuje możliwość zdalnego wykonania dowolnych poleceń na urządzeniu, co może prowadzić do pełnego przejęcia kontroli nad konsolą, manipulacji danymi pomiarowymi oraz potencjalnego zakłócenia pracy infrastruktury stacji paliwowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (CISA ICS Advisory ICSA-24-268-04). Dodatkowo zaleca się ograniczenie dostępu sieciowego do interfejsu zarządzania urządzeń wyłącznie do zaufanych hostów oraz izolację urządzeń OT/ICS od publicznego Internetu za pomocą firewall lub sieci VLAN.

Kogo dotyczy

Oprogramowanie firmware i konsole Dover Fueling Solutions ProGauge MAGLINK LX Console oraz ProGauge MAGLINK LX4 Console — wersje wskazane w referencjach producenta (ICS Advisory ICSA-24-268-04)

Uwagi

Podatność dotyczy systemów przemysłowych (ICS/OT) stosowanych w infrastrukturze dystrybucji paliw. CISA opublikowała dedykowane ostrzeżenie ICS Advisory ICSA-24-268-04.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Doverfuelingsolutions Progauge Maglink Lx4 Console

    HW
    Doverfuelingsolutions
    wszystkie wersje
  • Doverfuelingsolutions Progauge Maglink Lx4 Console Firmware

    OS
    Doverfuelingsolutions
    ≤ 4.17.9e
  • Doverfuelingsolutions Progauge Maglink Lx Console

    HW
    Doverfuelingsolutions
    wszystkie wersje
  • Doverfuelingsolutions Progauge Maglink Lx Console Firmware

    OS
    Doverfuelingsolutions
    ≤ 3.4.2.2.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-43423CRITICAL9.3PL ✓ten sam produkt

Zakodowane na stałe hasło konta administratora w ProGauge MAGLINK LX/LX4 Console

CVE-2024-43692CRITICAL9.3PL ✓ten sam produkt

Pominięcie uwierzytelnienia w ProGauge MAGLINK LX Console

CVE-2024-43693CRITICAL10.0PL ✓ten sam produkt

Command injection w ProGauge MAGLINK LX Console — zdalne wykonanie poleceń

CVE-2024-41725HIGH8.7ten sam produkt

ProGauge MAGLINK LX CONSOLE does not have sufficient filtering on input fields that are used to render pages ...

CVE-2024-45373HIGH8.7ten sam produkt

Once logged in to ProGauge MAGLINK LX4 CONSOLE, a valid user can change their privileges to administrator.