PT-2024-16897 · Altenergy · Altenergy Power Control
H0E4A0R1T
+1
·
Publicado
2024-11-17
·
Atualizado
2024-12-31
·
CVE-2024-11305
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do software Altenergy Power Control até 20241108
Descrição
Foi identificada uma vulnerabilidade crítica no software Altenergy Power Control, afetando a função
get status zigbee do arquivo /index.php/display/status zigbee. A manipulação do argumento date leva a uma injeção de SQL. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.Recomendações
Para as versões do software Altenergy Power Control até 20241108, como solução temporária, considere desativar a função
get status zigbee até que um patch esteja disponível. Restrinja o acesso ao endpoint /index.php/display/status zigbee para minimizar o risco de exploração. Evite usar o argumento date no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Special Elements Injection
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Altenergy Power Control