PT-2024-1304 · Novelan+1 · Novelan Heatpumps+1
Jaarden
·
Publicado
2024-01-29
·
Atualizado
2024-08-29
·
CVE-2024-22894
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Bombas de calor Alpha Innotec em versões anteriores à V2.88.3
Bombas de calor Alpha Innotec em versões anteriores à V3.89.0
Bombas de calor Alpha Innotec em versões anteriores à V4.81.3
Bombas de calor Novelan em versões anteriores à V2.88.3
Versões do Novelan Heatpumps anteriores à V3.89.0
Versões do Novelan Heatpumps anteriores à V4.81.3
Descrição
A vulnerabilidade está relacionada ao uso de credenciais codificadas no arquivo wp2reg-V3.88.0-9015, permitindo que um invasor remoto obtenha acesso total ao dispositivo. A vulnerabilidade pode ser explorada para executar código arbitrário por meio do componente de senha no arquivo shadow.
Recomendações
Para as versões das bombas de calor Alpha Innotec anteriores à V2.88.3, atualize para a V2.88.3 ou posterior.
Para as versões das bombas de calor Alpha Innotec anteriores à V3.89.0, atualize para a V3.89.0 ou posterior.
Para as versões das bombas de calor Alpha Innotec anteriores à V4.81.3, atualize para a V4.81.3 ou posterior.
Para versões do Novelan Heatpumps anteriores à V2.88.3, atualize para a V2.88.3 ou posterior.
Para versões do Novelan Heatpumps anteriores à V3.89.0, atualize para a V3.89.0 ou posterior.
Para versões do Novelan Heatpumps anteriores à V4.81.3, atualize para a V4.81.3 ou posterior.
Exploit
Correção
Using Hardcoded Credentials
Inadequate Encryption Strength
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alpha Innotec Heatpumps
Novelan Heatpumps