CVE-2022-2757

Versões do Kingspan TMS300 CS (versões afetadas não especificadas)

A vulnerabilidade se deve à falta de regras de controle de acesso adequadamente implementadas, permitindo que um invasor visualize e modifique as configurações do aplicativo sem autenticação, acessando um endereço URL específico no servidor web. Isso pode ser feito acessando determinadas URLs, que podem ser definidas por meio da interface web ou usando força bruta. O invasor pode alterar várias configurações, incluindo aquelas relacionadas a sensores, informações de tanques e valores de limite de alarme, o que pode levar a uma situação de emergência. O produto vulnerável é utilizado mundialmente no setor de abastecimento de água e drenagem.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.