PT-2024-37080 · Volkswagen Group Charging Gmbh Elli+2 · Id Charger Connect & Pro+2
Anna Breeva
·
Publicado
2024-06-06
·
Atualizado
2024-06-11
·
CVE-2024-5684
CVSS v3.1
8.8
Alta
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Não há menção a nenhum nome específico de software ou versões afetadas nas descrições fornecidas.
Descrição:
O problema está relacionado a uma implementação defeituosa da biblioteca JWT, que pode ser explorada por um invasor com acesso à rede privada ou acesso local à interface Ethernet para contornar a autenticação por senha na interface de configuração web. Isso permite que o invasor tenha acesso total, como um usuário teria, embora sem direitos de desenvolvedor ou administrador. Se a implementação da biblioteca JWT estiver configurada incorretamente para aceitar algoritmos “none”, o servidor passará um JWT não seguro, permitindo que um invasor local não autenticado contorne o mecanismo de autenticação.
Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Id Charger Connect & Pro
Id.Charger Connect Firmware
Id.Charger Pro Firmware