CVE-2024-43648

Nome do Software Vulnerável e Versões Afetadas Firmware Iocharger para modelos AC em versões anteriores à 24120701

Descrição A questão está relacionada à injeção de comando em um parâmetro específico de uma requisição .exe, resultando em execução remota de código como usuário root. Isso permite que um invasor obtenha controle total sobre a estação de carregamento, adicionando, modificando e excluindo arquivos e serviços arbitrariamente. O ataque pode ser executado através de qualquer conexão de rede na qual a estação esteja escutando e servindo a interface web. Um carregador comprometido pode ser utilizado para realizar "pivotamento" em redes que deveriam estar fechadas, causando um impacto baixo na confidencialidade e integridade de sistemas subsequentes. A vulnerabilidade pode potencialmente ter um impacto na segurança devido ao dispositivo lidar com quantidades significativas de energia.

Recomendações Para o firmware Iocharger para modelos AC em versões anteriores à 24120701, atualize para a versão 24120701 ou posterior para resolver a questão. Como solução temporária, considere restringir o acesso ao binário vulnerável ou desativar o parâmetro afetado para minimizar o risco de exploração. Evite utilizar o parâmetro vulnerável no endpoint de API afetado até que a questão seja resolvida.