CWE-321: USO DI CHIAVE CRITTOGRAFICA HARD-CODED
Il Power Panel dei dispositivi gestisce l'utilizzo di certificati identici basati su una chiave crittografica codificata su disco rigido. Ciò può consentire a un utente malintenzionato di impersonare qualsiasi client nel sistema e inviare dati dannosi.
Lo sfruttamento riuscito di queste vulnerabilità potrebbe comportare l’esclusione dell’autenticazione da parte di un utente malintenzionato e l’ottenimento dei privilegi di amministratore, forgiare token JWT per bypassare l'autenticazione, scrivere file arbitrari sul server e ottenere l'esecuzione del codice, ottenere l'accesso ai servizi con i privilegi di un'applicazione PowerPanel, ottenere l'accesso al server di test o di produzione, apprendimento delle password e autenticazione con privilegi utente o amministratore, iniettando la sintassi SQL, scrivere file arbitrari sul sistema, esecuzione di codice remoto, impersonare qualsiasi client nel sistema e inviare dati dannosi, o ottenere dati da tutto il sistema dopo aver ottenuto l'accesso a qualsiasi dispositivo.
CVE-2024-31410
CyberPower
PowerPanel
6.5
Team82 si impegna a segnalare privatamente le vulnerabilità ai fornitori interessati in modo coordinato e tempestivo al fine di garantire la sicurezza dell’ecosistema della sicurezza informatica in tutto il mondo. Per interagire con il fornitore e la comunità di ricerca, Team82 ti invita a scaricare e condividere la nostra Politica sulla divulgazione coordinata. Team82 aderisce a questo processo di segnalazione e divulgazione quando scopriamo vulnerabilità in prodotti e servizi.
Team82 ha inoltre reso disponibile la sua chiave PGP pubblica per il fornitore e la comunità di ricerca per scambiare in modo sicuro e protetto le informazioni sulla vulnerabilità e sulla ricerca con noi.
