PT-2021-11397 · Loxone · Loxone Miniserver
Di Markus Zeilinger
+2
·
Publicado
2021-01-13
·
Atualizado
2021-01-21
·
CVE-2020-27488
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Loxone Miniserver anteriores à 11.1
Descrição:
O problema afeta dispositivos que não podem utilizar um método de autenticação baseado na
assinatura do pacote de atualização. Como resultado, esses dispositivos, ou invasores que os falsificam, podem continuar a utilizar um serviço em nuvem sem autenticação por tempo indeterminado. Assim que o firmware de um dispositivo é atualizado e a autenticação ocorre, o serviço em nuvem exige autenticação para interações subsequentes, impedindo a falsificação.Recomendações:
Para versões anteriores à 11.1, atualize o firmware para a versão 11.1 ou posterior para habilitar a autenticação baseada na
assinatura do pacote de atualização e impedir o acesso não autorizado ao serviço em nuvem.Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Loxone Miniserver