CWE-798: USO DI CREDENZIALI HARD-CODED
Le credenziali hard-coded vengono utilizzate dalla piattaforma per autenticarsi al database, ad altri servizi e al cloud. Ciò potrebbe comportare l'accesso di un utente malintenzionato ai servizi con i privilegi di un'applicazione Powerpanel.
Lo sfruttamento riuscito di queste vulnerabilità potrebbe comportare l’esclusione dell’autenticazione da parte di un utente malintenzionato e l’ottenimento dei privilegi di amministratore, forgiare token JWT per bypassare l'autenticazione, scrivere file arbitrari sul server e ottenere l'esecuzione del codice, ottenere l'accesso ai servizi con i privilegi di un'applicazione PowerPanel, ottenere l'accesso al server di test o di produzione, apprendimento delle password e autenticazione con privilegi utente o amministratore, iniettando la sintassi SQL, scrivere file arbitrari sul sistema, esecuzione di codice remoto, impersonare qualsiasi client nel sistema e inviare dati dannosi, o ottenere dati da tutto il sistema dopo aver ottenuto l'accesso a qualsiasi dispositivo.
CVE-2024-32053
CyberPower
PowerPanel
9.8
Team82 si impegna a segnalare privatamente le vulnerabilità ai fornitori interessati in modo coordinato e tempestivo al fine di garantire la sicurezza dell’ecosistema della sicurezza informatica in tutto il mondo. Per interagire con il fornitore e la comunità di ricerca, Team82 ti invita a scaricare e condividere la nostra Politica sulla divulgazione coordinata. Team82 aderisce a questo processo di segnalazione e divulgazione quando scopriamo vulnerabilità in prodotti e servizi.
Team82 ha inoltre reso disponibile la sua chiave PGP pubblica per il fornitore e la comunità di ricerca per scambiare in modo sicuro e protetto le informazioni sulla vulnerabilità e sulla ricerca con noi.
