PT-2020-13281 · Eq 3 · Eq-3 Homematic Central Control Unit
Psytester
·
Publicado
2020-05-15
·
Atualizado
2020-05-21
·
CVE-2020-12834
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Unidade de Controle Central (CCU) eQ-3 Homematic, versões 2 a 2.51.6
Unidade de Controle Central (CCU3) eQ-3 Homematic, versões 3 a 3.51.6
Descrição
A vulnerabilidade permite a execução remota de código no método JSON API
ReGa.runScript por invasores não autenticados com acesso à interface web, devido ao recurso de login automático padrão estar ativado durante a configuração inicial ou a redefinição de fábrica.Recomendações
Para a Unidade de Controle Central (CCU) eQ-3 Homematic, versões 2 a 2.51.6, desative o recurso de login automático padrão para evitar a exploração.
Para a Unidade de Controle Central (CCU3) eQ-3 Homematic, versões 3 a 3.51.6, desative o recurso de login automático padrão para evitar a exploração.
Como solução temporária, considere desativar o método
ReGa.runScript até que uma correção esteja disponível.Exploit
Correção
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eq-3 Homematic Central Control Unit