CRITICAL🇬🇧 English

CVE-2023-51583

RCE w Voltronic Power ViewPower — odsłonięta niebezpieczna metoda UpsScheduler

CVSS 9.8v3.0pub. 2024-05-03upd. 2025-07-09

Podatność w oprogramowaniu Voltronic Power ViewPower umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Ze względu na brak wymagań co do uprawnień i dostępu sieciowego, zagrożenie jest krytyczne.

Pokaż oryginał (EN)

Voltronic Power ViewPower UpsScheduler Exposed Dangerous Method Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Voltronic Power ViewPower. Authentication is not required to exploit this vulnerability. The specific flaw exists within the UpsScheduler class. The issue results from an exposed dangerous method. An attacker can leverage this vulnerability to execute code in the context of SYSTEM. Was ZDI-CAN-22036.

🤖 Analiza AI
Jak działa

Luka tkwi w klasie UpsScheduler, w której niebezpieczna metoda została udostępniona zdalnie bez odpowiednich zabezpieczeń (CWE-749: Exposed Dangerous Method or Function). Atakujący może wywołać tę metodę z zewnątrz sieci bez podawania jakichkolwiek danych uwierzytelniających. Skutkiem wywołania jest wykonanie kodu w kontekście konta SYSTEM, co oznacza najwyższy poziom uprawnień w systemie operacyjnym Windows.

Skutki

Atakujący może wykonać dowolny kod z uprawnieniami SYSTEM, uzyskując pełną kontrolę nad zaatakowanym hostem, w tym możliwość instalacji złośliwego oprogramowania, kradzieży danych oraz dalszego ruchu bocznego w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zalecane jest również ograniczenie dostępu sieciowego do usługi ViewPower za pomocą firewall do zaufanych hostów oraz monitorowanie aktywności sieciowej związanej z tą usługą.

Kogo dotyczy

Voltronic Power ViewPower — wersje wskazane w referencjach producenta (potwierdzono podatność w identyfikatorze ZDI-CAN-22036)

Uwagi

Podatność została zgłoszona przez Zero Day Initiative jako ZDI-CAN-22036 i opublikowana jako ZDI-23-1888.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Voltronicpower Viewpower

    APP
    Voltronicpower
    1.04.21353
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2023-51576CRITICAL9.8PL ✓ten sam produkt

RCE przez deserializację w Voltronic Power ViewPower (port TCP 51099)

CVE-2023-51581CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez odsłoniętą niebezpieczną metodę klasy MacMonitorConsole

CVE-2023-51575CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez niechronioną metodę w klasie MonitorConsole

CVE-2023-51574CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — pominięcie uwierzytelnienia przez exposed dangerous method

CVE-2023-51582CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez wystawioną niebezpieczną metodę LinuxMonitorConsole

CVE-2023-51583 — RCE w Voltronic Power ViewPower — odsłonięta niebezpieczna metoda UpsScheduler — CRITICAL 9.8 | CVEbaza.pl