CRITICAL🇬🇧 English

CVE-2024-43693

Command injection w ProGauge MAGLINK LX Console — zdalne wykonanie poleceń

CVSS 10.0v4.0pub. 2024-09-25upd. 2024-10-01

Podatność typu command injection w konsolach ProGauge MAGLINK LX oraz LX4 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko, bez żadnych wymagań wstępnych po stronie atakującego.

Pokaż oryginał (EN)

A specially crafted POST request to the ProGauge MAGLINK LX CONSOLE UTILITY sub-menu can allow a remote attacker to inject arbitrary commands.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane żądanie HTTP POST do podmenu UTILITY w interfejsie konsoli ProGauge MAGLINK LX. Dane wejściowe zawarte w żądaniu nie są odpowiednio walidowane ani sanityzowane, co pozwala na wstrzyknięcie i wykonanie arbitralnych poleceń systemowych (CWE-77). Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani spełnienia szczególnych warunków sieciowych — wystarczy dostęp sieciowy do urządzenia.

Skutki

Atakujący może wykonać dowolne polecenia z uprawnieniami procesu obsługującego żądania, co w praktyce może oznaczać pełne przejęcie kontroli nad urządzeniem, manipulację danymi pomiarowymi paliwa oraz potencjalny wpływ na infrastrukturę stacji paliwowej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (CISA ICS Advisory ICSA-24-268-04). Dodatkowo zaleca się ograniczenie dostępu sieciowego do interfejsu konsoli poprzez firewall lub segmentację sieci OT/ICS oraz odizolowanie urządzeń od publicznego Internetu.

Kogo dotyczy

Dover Fueling Solutions ProGauge MAGLINK LX Console (firmware i oprogramowanie konsoli) oraz ProGauge MAGLINK LX4 Console (firmware i oprogramowanie konsoli) — szczegółowe wersje wskazane w referencjach producenta (ICSA-24-268-04)

Uwagi

Podatność dotyczy systemów przemysłowych klasy ICS (sterowniki do zarządzania paliwem na stacjach benzynowych). CISA opublikowała dedykowane ostrzeżenie ICS Advisory ICSA-24-268-04. Ze względu na charakter infrastruktury krytycznej zalecana jest szczególna ostrożność przy ocenie ekspozycji urządzeń.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Doverfuelingsolutions Progauge Maglink Lx4 Console

    HW
    Doverfuelingsolutions
    wszystkie wersje
  • Doverfuelingsolutions Progauge Maglink Lx4 Console Firmware

    OS
    Doverfuelingsolutions
    ≤ 4.17.9e
  • Doverfuelingsolutions Progauge Maglink Lx Console

    HW
    Doverfuelingsolutions
    wszystkie wersje
  • Doverfuelingsolutions Progauge Maglink Lx Console Firmware

    OS
    Doverfuelingsolutions
    ≤ 3.4.2.2.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-43423CRITICAL9.3PL ✓ten sam produkt

Zakodowane na stałe hasło konta administratora w ProGauge MAGLINK LX/LX4 Console

CVE-2024-43692CRITICAL9.3PL ✓ten sam produkt

Pominięcie uwierzytelnienia w ProGauge MAGLINK LX Console

CVE-2024-45066CRITICAL10.0PL ✓ten sam produkt

Command injection w konsolach ProGauge MAGLINK LX/LX4 — zdalne wykonanie poleceń

CVE-2024-41725HIGH8.7ten sam produkt

ProGauge MAGLINK LX CONSOLE does not have sufficient filtering on input fields that are used to render pages ...

CVE-2024-45373HIGH8.7ten sam produkt

Once logged in to ProGauge MAGLINK LX4 CONSOLE, a valid user can change their privileges to administrator.