CVE-2024-47944

Missing Protection Mechanism for Alternate Hardware Interface

CVSS 6.8 MEDIUMEPSS 0.4%CWE-1299

Em resumo

Um dispositivo permite que qualquer pessoa carregue e execute arquivos de firmware maliciosos por uma entrada USB sem exigir senha, permitindo execução não autorizada de código.

Detalhe técnico

A função de atualização de firmware na interface de administração carece de mecanismos de autenticação, permitindo que atacantes não autenticados executem código arbitrário fornecendo arquivos .patch manipulados através da interface USB. Isto contorna a proteção do mecanismo de interface de hardware alternativo, resultando em comprometimento total do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.

The device directly executes .patch firmware upgrade files on a USB stick without any prior authentication in the admin interface. This leads to an unauthenticated code execution via the firmware upgrade function.

CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

RITTAL GmbH & Co. KG · IoT Interface & CMC III Processing Unit

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

http://seclists.org/fulldisclosure/2024/Oct/4 https://r.sec-consult.com/rittaliot https://www.rittal.com/de-de/products/deep/3124300