Podatność w oprogramowaniu Microchip TimePictra polega na braku wymaganego uwierzytelnienia dla krytycznych funkcji systemowych (CWE-306). Nieautoryzowany atakujący sieciowy może manipulować konfiguracją i środowiskiem systemu bez podawania jakichkolwiek poświadczeń.
▸ Pokaż oryginał (EN)
Missing Authentication for Critical Function vulnerability in Microchip TimePictra allows Configuration/Environment Manipulation.This issue affects TimePictra: from 11.0 through 11.3 SP2.
Podatność wynika z pominięcia mechanizmu uwierzytelnienia dla określonych funkcji krytycznych w aplikacji TimePictra. Atakujący zdalny, bez konieczności posiadania konta ani uprawnień, może bezpośrednio wywoływać te funkcje przez sieć. Skutkuje to możliwością manipulacji konfiguracją systemu lub jego środowiskiem działania bez żadnej weryfikacji tożsamości.
Atakujący może bez uwierzytelnienia zdalnie zmodyfikować konfigurację systemu lub jego środowisko operacyjne, co może prowadzić do zakłócenia synchronizacji czasu, przejęcia kontroli nad ustawieniami urządzenia oraz naruszenia integralności i poufności danych systemowych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje o aktualizacjach dostępne są pod adresem wskazanym przez Microchip w oficjalnym biuletynie bezpieczeństwa. Do czasu zastosowania poprawek zaleca się ograniczenie dostępu sieciowego do systemu TimePictra poprzez firewall lub segmentację sieci.
Microchip TimePictra w wersjach od 11.0 do 11.3 SP2 (włącznie).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMicrochip Timepictra
APPMicrochip11.311.0 – 11.3
Powiązane podatności
XSS w Microchip TimePictra – wstrzyknięcie złośliwego skryptu
RCE przez buffer overflow w serwerze DHCP Microchip Advanced Software Framework
Nieautoryzowany dostęp w maxView Storage Manager via Redfish Server
Nieautoryzowany dostęp w Microchip maxView Storage Manager przez serwer Redfish
In Microchip MPLAB Net 3.6.1, TCP ISNs are improperly random.