Podatność w oprogramowaniu Voltronic Power ViewPower, ViewPower Pro oraz PowerShield Netguard umożliwia zdalnemu, nieuwiertelnionemu atakującemu wykonanie dowolnego kodu przez interfejs webowy. Ocena CVSS 10.0 oznacza maksymalne zagrożenie — atakujący nie potrzebuje żadnych uprawnień ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Voltronic Power ViewPower through 1.04-24215, ViewPower Pro through 2.0-22165, and PowerShield Netguard before 1.04-23292 allows a remote attacker to run arbitrary code via an unspecified web interface related to detection of a managed UPS shutting down. An unauthenticated attacker can use this to run arbitrary code immediately regardless of any managed UPS state or presence.
Podatność dotyczy mechanizmu wykrywania stanu wyłączania zarządzanego zasilacza UPS w interfejsie webowym aplikacji. Atakujący może wysłać spreparowane żądanie do tego interfejsu bez żadnego uwierzytelnienia, co skutkuje wykonaniem dowolnego kodu po stronie serwera. Co istotne, exploit działa natychmiastowo i niezależnie od rzeczywistego stanu lub obecności podłączonego UPS-a — nie jest wymagana żadna konkretna konfiguracja urządzenia.
Atakujący może przejąć pełną kontrolę nad systemem, na którym uruchomione jest oprogramowanie, uzyskując poufność, integralność oraz dostępność zasobów — w tym potencjalnie całej sieci zarządzania infrastrukturą zasilania.
Należy zaktualizować PowerShield Netguard do wersji 1.04-23292 lub nowszej. Dla produktów ViewPower i ViewPower Pro należy zastosować patche dostępne u producenta zgodnie z referencjami (advisory CISA ICSA-25-182-05). Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu webowego aplikacji wyłącznie do zaufanych sieci lub zastosowanie firewall / VPN.
Voltronic Power ViewPower w wersjach do 1.04-24215 włącznie, Voltronic Power ViewPower Pro w wersjach do 2.0-22165 włącznie oraz PowerShield Netguard w wersjach przed 1.04-23292.
Podatność została ujawniona w ramach koordynowanego disclosure przez ready2disclose.com oraz opisana w advisory CISA ICS (ICSA-25-182-05) opublikowanym przez CISA w kontekście bezpieczeństwa systemów przemysłowych (ICS). Oprogramowanie jest stosowane do zarządzania zasilaczami UPS, co czyni cel szczególnie wrażliwym w środowiskach przemysłowych i infrastrukturalnych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H