Podatność w konsolach ProGauge MAGLINK LX i LX4 umożliwia nieuwierzytelnionemu atakującemu bezpośredni dostęp do chronionych podstron interfejsu webowego z pełnymi uprawnieniami. Jest to podatność krytyczna, ponieważ nie wymaga żadnych danych uwierzytelniających ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
An attacker can directly request the ProGauge MAGLINK LX CONSOLE resource sub page with full privileges by requesting the URL directly.
Atakujący może ominąć mechanizm uwierzytelnienia (CWE-288) poprzez bezpośrednie wywołanie adresu URL chronionego zasobu w interfejsie webowym konsoli. System nie weryfikuje poprawnie, czy żądanie pochodzi od uwierzytelnionego użytkownika, przyznając dostęp z pełnymi uprawnieniami każdemu, kto zna lub odgadnie ścieżkę URL. Atak jest możliwy zdalnie przez sieć bez żadnych dodatkowych warunków wstępnych.
Atakujący uzyskuje pełny dostęp do funkcji administracyjnych konsoli zarządzającej systemem paliwowym bez konieczności logowania, co może umożliwić manipulację konfiguracją urządzenia lub odczyt wrażliwych danych operacyjnych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do interfejsu webowego konsoli wyłącznie do zaufanych hostów oraz izolację urządzeń OT/ICS od sieci publicznych za pomocą firewall.
Urządzenia Dover Fueling Solutions ProGauge MAGLINK LX Console oraz ProGauge MAGLINK LX4 Console (firmware i oprogramowanie konsoli) — konkretne wersje wskazane w referencjach producenta (poradnik CISA ICSA-24-268-04)
Podatność dotyczy systemów przemysłowych (ICS) klasy OT — konsol zarządzania dystrybutorami paliwa. Szczegółowe informacje techniczne dostępne w poradniku CISA ICS Advisory ICSA-24-268-04.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XDoverfuelingsolutions Progauge Maglink Lx4 Console
HWDoverfuelingsolutionswszystkie wersjeDoverfuelingsolutions Progauge Maglink Lx4 Console Firmware
OSDoverfuelingsolutions≤ 4.17.9eDoverfuelingsolutions Progauge Maglink Lx Console
HWDoverfuelingsolutionswszystkie wersjeDoverfuelingsolutions Progauge Maglink Lx Console Firmware
OSDoverfuelingsolutions≤ 3.4.2.2.6
Powiązane podatności
Zakodowane na stałe hasło konta administratora w ProGauge MAGLINK LX/LX4 Console
Command injection w ProGauge MAGLINK LX Console — zdalne wykonanie poleceń
Command injection w konsolach ProGauge MAGLINK LX/LX4 — zdalne wykonanie poleceń
ProGauge MAGLINK LX CONSOLE does not have sufficient filtering on input fields that are used to render pages ...
Once logged in to ProGauge MAGLINK LX4 CONSOLE, a valid user can change their privileges to administrator.