CRITICAL🇬🇧 English

CVE-2022-31491

RCE bez uwierzytelnienia w Voltronic Power ViewPower / PowerShield Netguard

CVSS 10.0v3.1pub. 2025-08-22upd. 2026-04-15

Podatność w oprogramowaniu Voltronic Power ViewPower, ViewPower Pro oraz PowerShield Netguard umożliwia zdalnemu, nieuwiertelnionemu atakującemu wykonanie dowolnego kodu przez interfejs webowy. Ocena CVSS 10.0 oznacza maksymalne zagrożenie — atakujący nie potrzebuje żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

Voltronic Power ViewPower through 1.04-24215, ViewPower Pro through 2.0-22165, and PowerShield Netguard before 1.04-23292 allows a remote attacker to run arbitrary code via an unspecified web interface related to detection of a managed UPS shutting down. An unauthenticated attacker can use this to run arbitrary code immediately regardless of any managed UPS state or presence.

🤖 Analiza AI
Jak działa

Podatność dotyczy mechanizmu wykrywania stanu wyłączania zarządzanego zasilacza UPS w interfejsie webowym aplikacji. Atakujący może wysłać spreparowane żądanie do tego interfejsu bez żadnego uwierzytelnienia, co skutkuje wykonaniem dowolnego kodu po stronie serwera. Co istotne, exploit działa natychmiastowo i niezależnie od rzeczywistego stanu lub obecności podłączonego UPS-a — nie jest wymagana żadna konkretna konfiguracja urządzenia.

Skutki

Atakujący może przejąć pełną kontrolę nad systemem, na którym uruchomione jest oprogramowanie, uzyskując poufność, integralność oraz dostępność zasobów — w tym potencjalnie całej sieci zarządzania infrastrukturą zasilania.

Mitygacja

Należy zaktualizować PowerShield Netguard do wersji 1.04-23292 lub nowszej. Dla produktów ViewPower i ViewPower Pro należy zastosować patche dostępne u producenta zgodnie z referencjami (advisory CISA ICSA-25-182-05). Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu webowego aplikacji wyłącznie do zaufanych sieci lub zastosowanie firewall / VPN.

Kogo dotyczy

Voltronic Power ViewPower w wersjach do 1.04-24215 włącznie, Voltronic Power ViewPower Pro w wersjach do 2.0-22165 włącznie oraz PowerShield Netguard w wersjach przed 1.04-23292.

Uwagi

Podatność została ujawniona w ramach koordynowanego disclosure przez ready2disclose.com oraz opisana w advisory CISA ICS (ICSA-25-182-05) opublikowanym przez CISA w kontekście bezpieczeństwa systemów przemysłowych (ICS). Oprogramowanie jest stosowane do zarządzania zasilaczami UPS, co czyni cel szczególnie wrażliwym w środowiskach przemysłowych i infrastrukturalnych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje