CVE-2024-24578

RaspberryMatic / OCCU versões anteriores à 3.75.6.20240316

O RaspberryMatic é um sistema operacional de código aberto para dispositivos HomeMatic da Internet das Coisas. A vulnerabilidade é causada por vários problemas no componente HMIPServer.jar, baseado em Java. Esse componente pode ser acessado por meio de URLs que começam com /pages/jpages. A classe FirmwareController não realiza verificações de ID de sessão, permitindo o acesso sem uma sessão válida. Como resultado, invasores podem obter execução remota de código como usuário root, levando a um comprometimento total do sistema.

Para versões anteriores à 3.75.6.20240316, atualize para a versão 3.75.6.20240316 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à URL /pages/jpages e à classe FirmwareController até que a atualização seja aplicada. Além disso, desativar o componente HMIPServer.jar pode ajudar a minimizar o risco de exploração até que um patch seja instalado.