Krytyczna podatność w oprogramowaniu Voltronic Power ViewPower umożliwia zdalnym atakującym wykonanie dowolnego kodu bez uwierzytelnienia. Wynika z nieprawidłowego udostępnienia niebezpiecznej metody w klasie MacMonitorConsole.
▸ Pokaż oryginał (EN)
Voltronic Power ViewPower MacMonitorConsole Exposed Dangerous Method Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Voltronic Power ViewPower. Authentication is not required to exploit this vulnerability. The specific flaw exists within the MacMonitorConsole class. The issue results from an exposed dangerous method. An attacker can leverage this vulnerability to execute code in the context of the current user. Was ZDI-CAN-22034.
Klasa MacMonitorConsole w aplikacji ViewPower eksponuje metodę, która nie powinna być dostępna zdalnie (CWE-749: Exposed Dangerous Method or Function). Atakujący może wywołać tę metodę przez sieć bez podawania jakichkolwiek danych uwierzytelniających. Skutkuje to wykonaniem dowolnego kodu w kontekście bieżącego użytkownika uruchomionego procesu.
Atakujący może zdalnie wykonać dowolny kod na podatnym systemie bez konieczności uwierzytelnienia, co może prowadzić do pełnego przejęcia kontroli nad systemem, naruszenia poufności danych oraz zakłócenia dostępności usług.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu sieciowego do interfejsu ViewPower za pomocą firewall lub segmentacji sieci, tak aby aplikacja nie była dostępna z niezaufanych sieci.
Voltronic Power ViewPower — wersje wskazane w referencjach producenta (szczegóły w advisory ZDI-23-1886)
Podatność została zgłoszona przez Zero Day Initiative pod identyfikatorem ZDI-CAN-22034 i opublikowana jako advisory ZDI-23-1886.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HVoltronicpower Viewpower
APPVoltronicpower1.04.21353
Powiązane podatności
RCE przez deserializację w Voltronic Power ViewPower (port TCP 51099)
Voltronic Power ViewPower — RCE przez wystawioną niebezpieczną metodę LinuxMonitorConsole
Voltronic Power ViewPower — RCE przez niechronioną metodę w klasie MonitorConsole
Voltronic Power ViewPower — pominięcie uwierzytelnienia przez exposed dangerous method
RCE w Voltronic Power ViewPower — odsłonięta niebezpieczna metoda UpsScheduler