CRITICAL🇬🇧 English

CVE-2024-8887

Pominięcie uwierzytelnienia w Circutor Q-SMT umożliwia atak DoS

CVSS 10.0v3.1pub. 2024-09-18upd. 2024-10-01

Podatność w oprogramowaniu Circutor Q-SMT (wersja firmware 1.0.4) pozwala atakującemu na ominięcie mechanizmów uwierzytelnienia na stronie logowania do interfejsu webowego. W efekcie nieautoryzowany użytkownik uzyskuje pełny dostęp do funkcji webowych urządzenia, co może prowadzić do ataku typu DoS.

Pokaż oryginał (EN)

CIRCUTOR Q-SMT in its firmware version 1.0.4, could be affected by a denial of service (DoS) attack if an attacker with access to the web service bypasses the authentication mechanisms on the login page, allowing the attacker to use all the functionalities implemented at web level that allow interacting with the device.

🤖 Analiza AI
Jak działa

Atakujący posiadający dostęp sieciowy do interfejsu webowego urządzenia Circutor Q-SMT może obejść zabezpieczenia strony logowania bez podawania prawidłowych danych uwierzytelniających. Po skutecznym ominięciu uwierzytelnienia (CWE-1284 — nieprawidłowa walidacja danych wejściowych) uzyskuje dostęp do wszystkich funkcjonalności dostępnych przez interfejs webowy. Możliwość swobodnego korzystania z tych funkcji umożliwia między innymi przeprowadzenie ataku denial of service, potencjalnie wyłączającego urządzenie z działania.

Skutki

Atakujący może przejąć pełną kontrolę nad funkcjami webowymi urządzenia oraz wywołać jego niedostępność poprzez atak DoS, co w środowisku przemysłowym może skutkować zakłóceniem ciągłości monitorowania i zarządzania energią.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu do interfejsu webowego urządzenia wyłącznie do zaufanych hostów na poziomie firewall oraz sieci, do czasu wdrożenia oficjalnej poprawki producenta.

Kogo dotyczy

Circutor Q-SMT z wersją firmware 1.0.4

Uwagi

Podatność została zgłoszona przez INCIBE-CERT (Hiszpańskie Narodowe Centrum Cyberbezpieczeństwa) i dotyczy urządzenia klasy OT/ICS służącego do pomiarów jakości energii elektrycznej. Pomimo oceny CVSS 10.0 (CRITICAL), podatność nie figuruje w katalogu CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Circutor Q Smt

    HW
    Circutor
    wszystkie wersje
  • Circutor Q Smt Firmware

    OS
    Circutor
    1.0.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje

Powiązane podatności

CVE-2024-8888CRITICAL10.0PL ✓ten sam produkt

Brak wygasania tokenów sesji w Circutor Q-SMT Firmware 1.0.4

CVE-2024-8890HIGH8.0ten sam produkt

An attacker with access to the network where the CIRCUTOR Q-SMT is located in its firmware version 1.0.4, coul...

CVE-2024-8891MEDIUM5.3ten sam produkt

An attacker with no knowledge of the current users in the web application, could build a dictionary of potenti...

CVE-2025-11778CRITICAL10.0PL ✓ten sam vendor

Stack-based buffer overflow w Circutor SGE-PLC1000/SGE-PLC50 (TACACS+)

CVE-2025-11779CRITICAL9.4PL ✓ten sam vendor

Stack-based buffer overflow w Circutor SGE-PLC1000/SGE-PLC50 via SetLan