CVE-2023-29122

Incorrect file ownership of privileged service's libraries in Enel X JuiceBox

CVSS 6.7 MEDIUMEPSS 0.2%CWE-708

En resumen

Una vulnerabilidad en Enel X JuiceBox permite que cuentas de usuario no autorizadas accedan a bibliotecas que deberían estar restringidas a un servicio privilegiado. Esto puede llevar a modificación no autorizada o mal uso de componentes de servicio críticos.

Detalle técnico

La vulnerabilidad CWE-708 (Asignación Incorrecta de Propiedad) afecta las bibliotecas de servicio de Enel X JuiceBox, donde la propiedad de archivos se configura incorrectamente bajo ciertas condiciones, permitiendo que cuentas no privilegiadas accedan a archivos de servicio sensibles. La explotación requiere acceso local y conocimiento de las rutas de bibliotecas vulnerables; el impacto incluye potencial escalada de privilegios o compromiso del servicio mediante manipulación de bibliotecas.

Resumen generado y traducido por IA a partir de la descripción oficial.

Under certain conditions, access to service libraries is granted to account they should not have access to.

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Productos afectados

Enel X · JuiceBox Pro 3.0 22kW Cellular

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://support-emobility.enelx.com/content/dam/enelxmobility/italia/documenti/manuali-schede-tecniche/Waybox-3-Security-Bulletin-06-2024-V1.pdf