PT-2025-2652 · Iocharger · Iocharger
Frank Breedijk
+2
·
Publicado
2025-01-09
·
Atualizado
2025-01-09
·
CVE-2024-43651
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:P/AU:Y/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Firmware Iocharger para modelos AC em versões anteriores à 241207101
Descrição
A questão está relacionada à Neutralização Imprópria de Elementos Especiais Usados em um Comando, também conhecida como vulnerabilidade de 'Injeção de Comando', que permite Injeção de Comando do Sistema Operacional com privilégios de root. Isso concede a um invasor controle total sobre a estação de carregamento, permitindo-lhe adicionar, modificar e excluir arquivos e serviços arbitrariamente. O ataque requer autenticação, mas não necessita de condições especiais ou interação do usuário. A vulnerabilidade pode ser automatizada e pode ter um impacto potencial à segurança, devido ao carregador lidar com alta potência.
Recomendações
Para o firmware Iocharger para modelos AC em versões anteriores à 241207101:
Atualize para uma versão superior à 241207101 para resolver a questão.
Como solução temporária, considere restringir o acesso ao binário vulnerável ou limitar os privilégios das contas que podem acessá-lo.
Evite utilizar a interface vulnerável até que a questão seja resolvida.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Iocharger