PT-2024-19111 · Enphase · Enphase Iq Gateway
Frank Breedijk
+2
·
Publicado
2024-08-10
·
Atualizado
2024-08-23
·
CVE-2024-21880
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/S:P/AU:Y/R:I/V:C/RE:H |
Nome do software vulnerável e versões afetadas
Enphase IQ Gateway (anteriormente conhecido como Enphase), versões 4.x a 7.x
Descrição
O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando, também conhecida como vulnerabilidade de injeção de comando. Essa vulnerabilidade pode ser explorada por meio do parâmetro
url de um endpoint autenticado, permitindo a injeção de comando no sistema operacional.Recomendações
Para as versões 4.x a 7.x, atualize as medidas de segurança do sistema imediatamente para garantir que a vulnerabilidade seja resolvida. Como solução temporária, considere restringir o acesso ao endpoint autenticado até que um patch esteja disponível. Evite usar o parâmetro
url no endpoint afetado até que o problema seja resolvido.Correção
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Enphase Iq Gateway