PT-2021-19745 · Kaco New Energy · Kaco New Energy Xp100U
Aditya K. Sood
·
Publicado
2021-02-23
·
Atualizado
2021-02-27
·
CVE-2021-3252
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do KACO New Energy XP100U até XP-JAVA 2.0
Descrição:
O problema está relacionado a um controle de acesso incorreto, em que as credenciais são sempre retornadas em texto simples pelo servidor local durante o processo de autenticação, independentemente das senhas fornecidas. Isso leva a um problema de divulgação de informações.
Recomendações:
Para as versões do KACO New Energy XP100U até XP-JAVA 2.0, considere restringir o acesso ao processo de autenticação para minimizar o risco de exploração. Como solução temporária, evite usar o recurso de retorno de credenciais em texto simples até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kaco New Energy Xp100U