PT-2022-16842 · Haas · Haas Controller
Francesco Sortino
+1
·
Publicado
2022-10-28
·
Atualizado
2022-11-02
·
CVE-2022-2474
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Haas Controller versão 100.20.000.1110
Descrição
O problema diz respeito ao serviço “Ethernet Q Commands” no Haas Controller, onde a autenticação não é atualmente suportada. Isso permite que qualquer usuário no mesmo segmento de rede que o controlador, incluindo aqueles conectados remotamente, acesse o serviço e grave macros não autorizadas no dispositivo.
Recomendações
Para o Haas Controller versão 100.20.000.1110, considere desativar o serviço “Ethernet Q Commands” até que uma correção esteja disponível para impedir o acesso não autorizado e a gravação de macros. Restrinja o acesso ao segmento de rede onde o controlador está localizado para minimizar o risco de exploração.
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Haas Controller