Nieuwierzytelniony atakujący zdalnie może ominąć mechanizm logowania w aplikacji webowej urządzeń IndustrialPI. Podatność jest krytyczna, ponieważ umożliwia pełny dostęp do wszystkich ustawień urządzenia bez jakichkolwiek poświadczeń.
▸ Pokaż oryginał (EN)
An unauthenticated remote attacker can bypass the login to the web application of the affected devices making it possible to access and change all available settings of the IndustrialPI.
Błąd sklasyfikowany jako CWE-704 (nieprawidłowa konwersja typów) w mechanizmie uwierzytelnienia aplikacji webowej pozwala atakującemu na ominięcie procesu logowania. Atak nie wymaga żadnych uprawnień, interakcji ze strony użytkownika ani szczególnych warunków sieciowych — wystarczy dostęp sieciowy do interfejsu webowego urządzenia. Po skutecznym ominięciu logowania atakujący uzyskuje nieograniczony dostęp do panelu administracyjnego.
Atakujący może odczytać oraz zmodyfikować wszystkie dostępne ustawienia urządzenia IndustrialPI, co w środowisku przemysłowym może prowadzić do zakłócenia działania procesów, utraty poufności konfiguracji oraz naruszenia integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (poradnik VDE-2025-039). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do interfejsu webowego urządzeń IndustrialPI wyłącznie do zaufanych hostów oraz segmentację sieci przemysłowej.
Urządzenia IndustrialPI — dokładne wersje wskazane w referencjach producenta (poradnik VDE-2025-039 dostępny pod adresem certvde.com)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H