Evolution Controller 2.x posiada domyślne dane uwierzytelniające na interfejsie webowym, które nie są wymuszane do zmiany po instalacji ani przy pierwszym logowaniu. Pozwala to nieuwierzytelnionemu atakującemu na natychmiastowe uzyskanie pełnego dostępu administracyjnego do serwera.
▸ Pokaż oryginał (EN)
Default credentials on the Web Interface of Evolution Controller 2.x allows anyone to log in to the server directly to perform administrative functions. Upon installation or upon first login, the application does not ask the user to change the password. There is no warning or prompt to ask the user to change the default password.
Aplikacja nie wymaga od użytkownika zmiany domyślnego hasła podczas instalacji ani przy pierwszym uruchomieniu. Nie jest wyświetlane żadne ostrzeżenie ani monit o zmianę domyślnych poświadczeń. W efekcie każda osoba znająca fabryczne dane logowania może zalogować się bezpośrednio do interfejsu webowego i wykonywać funkcje administracyjne bez żadnych dodatkowych barier uwierzytelniania.
Atakujący uzyskuje pełen dostęp administracyjny do systemu Evolution Controller, co umożliwia mu odczyt i modyfikację konfiguracji, a także potencjalne naruszenie poufności, integralności i dostępności kontrolowanego środowiska.
Należy niezwłocznie zmienić domyślne hasło administracyjne na silne, unikalne hasło oraz zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu do interfejsu webowego wyłącznie do zaufanych adresów IP za pomocą firewall oraz monitorowanie nieautoryzowanych prób logowania.
Cs-Technologies Evolution Controller w wersji 2.x z domyślną konfiguracją interfejsu webowego
Podatność została ujawniona przez firmę Direct Cyber w ramach zbiorczego raportu obejmującego CVE-2024-29836 do CVE-2024-29844, dotyczącego wielu podatności w Evolution Controller.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HCs Technologies Evolution
APPCs-Technologies≤ 2.04.560
Powiązane podatności
Auth Bypass w Evolution Controller — nieautoryzowane przejęcie kont
The Web interface of Evolution Controller Versions 2.04.560.31.03.2024 and below uses poor session management,...
The Web interface of Evolution Controller Versions 2.04.560.31.03.2024 and below does not proper sanitize user...
The Web interface of Evolution Controller Versions 2.04.560.31.03.2024 and below contains poorly configured ac...
The Web interface of Evolution Controller Versions 2.04.560.31.03.2024 and below contains poorly configured ac...