CVE-2024-47944

Missing Protection Mechanism for Alternate Hardware Interface

CVSS 6.8 MEDIUMEPSS 0.4%CWE-1299

En resumen

Un dispositivo permite que cualquier persona cargue y ejecute archivos de firmware maliciosos a través de una conexión USB sin requerir contraseña, permitiendo ejecución no autorizada de código.

Detalle técnico

La función de actualización de firmware en la interfaz de administración carece de mecanismos de autenticación, permitiendo que atacantes no autenticados ejecuten código arbitrario proporcionando archivos .patch manipulados a través de la interfaz USB. Esto elude la protección del mecanismo de interfaz de hardware alterno, resultando en compromiso total del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.

The device directly executes .patch firmware upgrade files on a USB stick without any prior authentication in the admin interface. This leads to an unauthenticated code execution via the firmware upgrade function.

CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

RITTAL GmbH & Co. KG · IoT Interface & CMC III Processing Unit

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

http://seclists.org/fulldisclosure/2024/Oct/4 https://r.sec-consult.com/rittaliot https://www.rittal.com/de-de/products/deep/3124300