PT-2020-12985 · Ge Grid Solutions · Rt430+3
Ehab Hussein
·
Publicado
2020-06-02
·
Atualizado
2020-06-08
·
CVE-2020-12017
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
GE Grid Solutions Reason RT Clocks, versões anteriores à 08A05
GE Grid Solutions RT430, versões anteriores à 08A05
GE Grid Solutions RT431, versões anteriores à 08A05
GE Grid Solutions RT434, versões anteriores à 08A05
Descrição
O aplicativo web do dispositivo contém uma vulnerabilidade que poderia permitir múltiplos ataques não autenticados, causando potencialmente um impacto grave. Um invasor não autenticado pode executar comandos arbitrários, enviar uma solicitação a uma URL específica para tornar o dispositivo inoperante, alterar a senha da conta de usuário
configuration para modificar a configuração do dispositivo via interface web e contornar a autenticação necessária para configurar o dispositivo e reiniciar o sistema.Recomendações
Para os relógios GE Grid Solutions Reason RT, versões RT430, RT431 e RT434 anteriores à 08A05, atualize o firmware para a versão 08A05 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso à interface web para minimizar o risco de exploração.
Evite usar a interface web para alterações de configuração até que o problema seja resolvido.
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rt430
Rt431
Rt434
Reason Rt Clocks