CRITICAL🇬🇧 English

CVE-2022-43110

Brak uwierzytelnienia w panelu web Voltronic Power ViewPower/PowerShield Netguard

CVSS 9.8v3.1pub. 2025-08-22upd. 2026-04-15

Oprogramowanie Voltronic Power ViewPower oraz PowerShield Netguard udostępnia interfejs webowy bez wymaganego uwierzytelnienia, co pozwala zdalnemu atakującemu na pełne przejęcie kontroli nad systemem. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

Voltronic Power ViewPower through 1.04-21353 and PowerShield Netguard before 1.04-23292 allows a remote attacker to configure the system via an unspecified web interface. An unauthenticated remote attacker can make changes to the system including: changing the web interface admin password, view/change system configuration, enumerate connected UPS devices and shut down connected UPS devices. This extends to being able to configure operating system commands that should run if the system detects a connected UPS shutting down.

🤖 Analiza AI
Jak działa

Zdalny atakujący może bez uwierzytelnienia uzyskać dostęp do interfejsu webowego i wykonywać na nim uprzywilejowane operacje administracyjne. Podatność wynika z braku kontroli dostępu (CWE-284, CWE-306) oraz możliwości bezpośredniego wywołania chronionych zasobów bez autoryzacji (CWE-425). Atakujący może m.in. zmienić hasło administratora, przeglądać i modyfikować konfigurację systemu, wykrywać podłączone urządzenia UPS, wyłączać je zdalnie, a także konfigurować polecenia systemu operacyjnego wykonywane w reakcji na zdarzenia UPS.

Skutki

Atakujący może przejąć pełną kontrolę nad systemem zarządzania UPS, w tym zablokować dostęp administratorowi, wyłączyć podłączone urządzenia UPS oraz wykonać dowolne polecenia systemu operacyjnego — co może prowadzić do przerw w dostawie zasilania i poważnych zakłóceń infrastruktury krytycznej.

Mitygacja

Należy zaktualizować PowerShield Netguard do wersji 1.04-23292 lub nowszej. Dla Voltronic Power ViewPower należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu do interfejsu webowego wyłącznie do zaufanych sieci oraz zastosowanie firewalla blokującego dostęp z Internetu.

Kogo dotyczy

Voltronic Power ViewPower w wersji do 1.04-21353 (włącznie) oraz PowerShield Netguard w wersjach przed 1.04-23292

Uwagi

Podatność opisana w poradniku CISA ICS-ADVISORY ICSA-25-182-05, dotyczącym infrastruktury przemysłowej (ICS). Oprogramowanie służy do zarządzania urządzeniami UPS, co czyni tę podatność szczególnie istotną dla operatorów infrastruktury krytycznej.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje