PT-2024-19110 · Enphase · Enphase Iq Gateway
Frank Breedijk
+2
·
Publicado
2024-08-10
·
Atualizado
2024-08-23
·
CVE-2024-21879
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Enphase IQ Gateway (anteriormente conhecido como Envoy), versões 4.x a 8.x e versões anteriores à 8.2.4225
Descrição
O problema está relacionado a uma neutralização inadequada de elementos especiais usados em um comando, também conhecida como vulnerabilidade de “injeção de comando”. Essa vulnerabilidade pode ser explorada por meio de um parâmetro de URL de um endpoint autenticado, permitindo a injeção de comando no sistema operacional.
Recomendações
Para as versões 4.x a 8.x do Enphase IQ Gateway e versões anteriores à 8.2.4225, atualize para a versão 8.2.4225 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso ao endpoint autenticado até que um patch esteja disponível.
Evite usar o parâmetro de URL vulnerável no endpoint afetado até que o problema seja resolvido.
Correção
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Enphase Iq Gateway