CRITICAL🇬🇧 English

CVE-2024-32735

Brak uwierzytelnienia w REST API CyberPower PowerPanel Enterprise

CVSS 9.8v3.1pub. 2024-05-14upd. 2025-10-23

CyberPower PowerPanel Enterprise przed wersją 2.8.3 umożliwia nieuwierzytelnionemu atakującemu dostęp do REST API (PDNU) bez jakiejkolwiek weryfikacji tożsamości. Podatność jest krytyczna, ponieważ pełny dostęp do API może skutkować całkowitym przejęciem aplikacji.

Pokaż oryginał (EN)

An issue regarding missing authentication for certain utilities exists in CyberPower PowerPanel Enterprise prior to v2.8.3. An unauthenticated remote attacker can access the PDNU REST APIs, which may result in compromise of the application.

🤖 Analiza AI
Jak działa

Podatność wynika z braku mechanizmu uwierzytelnienia (CWE-306) dla określonych narzędzi i punktów końcowych PDNU REST API w aplikacji PowerPanel Enterprise. Zdalny atakujący bez żadnych poświadczeń może bezpośrednio wysyłać żądania do tych API przez sieć, omijając wszelkie kontrole dostępu. Brak wymagania logowania oznacza, że nie ma bariery wejścia dla potencjalnego atakującego.

Skutki

Nieuwierzytelniony zdalny atakujący może uzyskać pełen dostęp do funkcji aplikacji, co może prowadzić do naruszenia poufności, integralności oraz dostępności systemu PowerPanel Enterprise, a w konsekwencji do przejęcia zarządzania podłączonymi urządzeniami UPS.

Mitygacja

Należy zaktualizować CyberPower PowerPanel Enterprise do wersji 2.8.3 lub nowszej. Szczegóły dostępne w notatkach wydania producenta oraz w raporcie Tenable TRA-2024-14.

Kogo dotyczy

CyberPower PowerPanel Enterprise w wersjach wcześniejszych niż v2.8.3

Uwagi

Podatność została odkryta i zgłoszona przez Tenable (raport TRA-2024-14).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Cyberpower Powerpanel

    APP
    Cyberpower
    < 2.8.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-33625CRITICAL9.8PL ✓ten sam produkt

CyberPower PowerPanel: zakodowany klucz JWT umożliwia ominięcie uwierzytelnienia

CVE-2024-34025CRITICAL9.8PL ✓ten sam produkt

CyberPower PowerPanel Business — zakodowane dane uwierzytelniające

CVE-2024-32047CRITICAL9.8PL ✓ten sam produkt

CyberPower PowerPanel — zakodowane na stałe dane uwierzytelniające w kodzie produkcyjnym

CVE-2024-32053CRITICAL9.8PL ✓ten sam produkt

CyberPower PowerPanel — zakodowane na stałe dane uwierzytelniające (hard-coded credentials)

CVE-2023-25133CRITICAL9.1ten sam produkt

Improper privilege management vulnerability in default.cmd file in PowerPanel Business Local/Remote for Window...

CVE-2024-32735 — Brak uwierzytelnienia w REST API CyberPower PowerPanel Enterprise — CRITICAL 9.8 | CVEbaza.pl