Krytyczna podatność w oprogramowaniu Voltronic Power ViewPower umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na atakowanym systemie. Ze względu na brak wymaganego uwierzytelnienia oraz uprawnienia SYSTEM, zagrożenie jest oceniane jako krytyczne.
▸ Pokaż oryginał (EN)
Voltronic Power ViewPower Deserialization of Untrusted Data Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Voltronic Power ViewPower. Authentication is not required to exploit this vulnerability. The specific flaw exists within the RMI interface, which listens on TCP port 51099 by default. The issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data. An attacker can leverage this vulnerability to execute code in the context of SYSTEM. Was ZDI-CAN-22012.
Podatność dotyczy interfejsu RMI (Remote Method Invocation), który domyślnie nasłuchuje na porcie TCP 51099. Aplikacja nie przeprowadza odpowiedniej walidacji danych dostarczanych przez użytkownika, co pozwala na deserializację niezaufanych danych (CWE-502). Atakujący może wysłać specjalnie spreparowany payload do tego interfejsu bez konieczności wcześniejszego uwierzytelnienia, co skutkuje wykonaniem kodu w kontekście konta SYSTEM.
Atakujący uzyskuje możliwość wykonania dowolnego kodu z uprawnieniami SYSTEM na zaatakowanej maszynie, co oznacza pełne przejęcie kontroli nad systemem operacyjnym, w tym dostęp do danych, możliwość instalacji złośliwego oprogramowania oraz lateral movement w sieci.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo, jako środek zaradczy, zaleca się ograniczenie dostępu sieciowego do portu TCP 51099 wyłącznie do zaufanych hostów przy użyciu firewalla lub reguł ACL, co ograniczy powierzchnię ataku do momentu wdrożenia aktualizacji.
Voltronic Power ViewPower — wersje wskazane w referencjach producenta oraz w poradniku Zero Day Initiative (ZDI-23-1882)
Podatność została zgłoszona w ramach programu Zero Day Initiative pod identyfikatorem ZDI-CAN-22012, a poradnik opublikowano jako ZDI-23-1882.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HVoltronicpower Viewpower
APPVoltronicpower1.04.21353
Powiązane podatności
Voltronic Power ViewPower — RCE przez odsłoniętą niebezpieczną metodę klasy MacMonitorConsole
Voltronic Power ViewPower — RCE przez wystawioną niebezpieczną metodę LinuxMonitorConsole
Voltronic Power ViewPower — RCE przez niechronioną metodę w klasie MonitorConsole
Voltronic Power ViewPower — pominięcie uwierzytelnienia przez exposed dangerous method
RCE w Voltronic Power ViewPower — odsłonięta niebezpieczna metoda UpsScheduler