PT-2024-17176 · Unknown · Cph2 Echarge Firmware
Quentin Kaiser
·
Publicado
2024-11-24
·
Atualizado
2024-12-03
·
CVE-2024-11666
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do firmware cph2 echarge até a 2.0.4
Descrição
O problema afeta dispositivos que se comunicam com a infraestrutura em nuvem do eCharge por meio de um canal não seguro, uma vez que a verificação de pares está desativada. Isso permite que usuários remotos não autenticados, posicionados adequadamente na rede entre um controlador de carregador de veículos elétricos e a infraestrutura do eCharge, executem comandos arbitrários com privilégios elevados nos dispositivos afetados.
Recomendações
Para as versões do firmware cph2 echarge até a 2.0.4, atualize para uma versão que corrija o problema de verificação de pares para evitar ataques remotos.
Como solução temporária, considere restringir o acesso à infraestrutura em nuvem da eCharge para minimizar o risco de exploração.
Restrinja o acesso aos dispositivos afetados para impedir que usuários remotos não autenticados executem comandos arbitrários com privilégios elevados.
Exploit
Correção
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cph2 Echarge Firmware