CRITICAL🇬🇧 English

CVE-2024-24578

RCE bez uwierzytelnienia w RaspberryMatic przez HMIPServer.jar

CVSS 10.0v3.1pub. 2024-03-18upd. 2025-12-23

RaspberryMatic w wersjach poprzedzających 3.75.6.20240316 zawiera podatność umożliwiającą zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Atakujący może przejąć pełną kontrolę nad systemem z uprawnieniami root, co stanowi krytyczne zagrożenie dla infrastruktury IoT opartej na HomeMatic.

Pokaż oryginał (EN)

RaspberryMatic is an open-source operating system for HomeMatic internet-of-things devices. RaspberryMatic / OCCU prior to version 3.75.6.20240316 contains a unauthenticated remote code execution (RCE) vulnerability, caused by multiple issues within the Java based `HMIPServer.jar` component. RaspberryMatric includes a Java based `HMIPServer`, that can be accessed through URLs starting with `/pages/jpages`. The `FirmwareController` class does however not perform any session id checks, thus this feature can be accessed without a valid session. Due to this issue, attackers can gain remote code execution as root user, allowing a full system compromise. Version 3.75.6.20240316 contains a patch.

🤖 Analiza AI
Jak działa

Podatność wynika z dwóch powiązanych problemów w komponencie `HMIPServer.jar` napisanym w Javie. Klasa `FirmwareController`, dostępna pod ścieżkami URL zaczynającymi się od `/pages/jpages`, nie przeprowadza żadnej weryfikacji identyfikatora sesji (brak kontroli uwierzytelnienia, CWE-306). Dodatkowo występuje podatność typu path traversal (CWE-23), która w połączeniu z brakiem uwierzytelnienia pozwala atakującemu na zdalne wykonanie kodu jako użytkownik root bez posiadania ważnej sesji.

Skutki

Atakujący uzyskuje możliwość zdalnego wykonania dowolnego kodu z uprawnieniami root, co prowadzi do pełnego przejęcia systemu, w tym dostępu do danych, modyfikacji konfiguracji oraz potencjalnego przejęcia kontroli nad podłączonymi urządzeniami IoT HomeMatic.

Mitygacja

Należy zaktualizować RaspberryMatic do wersji 3.75.6.20240316 lub nowszej, która zawiera patch eliminujący opisane podatności. Patch dostępny jest w repozytorium projektu na GitHub.

Kogo dotyczy

RaspberryMatic / OCCU we wszystkich wersjach poprzedzających 3.75.6.20240316

Uwagi

Podatność została opublikowana wraz z advisory na GitHub Security Advisories (GHSA-q967-q4j8-637h). Patch wydano 16 marca 2024 roku (wersja 3.75.6.20240316), a CVE opublikowano 18 marca 2024.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Raspberrymatic

    OS
    Raspberrymatic
    < 3.75.6.20240316
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2022-24796CRITICAL10.0ten sam produkt

RaspberryMatic is a free and open-source operating system for running a cloud-free smart-home using the homema...