В Circontrol CirCarLife исправлены две опасные уязвимости
В решении для зарядки электромобилей CirCarLife от испанской компании Circontrol исправлены две уязвимости, позволяющие удаленному атакующему похитить учетные данные в открытом виде с целью обхода аутентификации, а также получить доступ к конфиденциальным данным. Проблема затрагивает все версии CirCarLife до 4.3.1.
С помощью первой уязвимости (CVE-2018-17918) злоумышленник может ввести URL определенной страницы и тем самым обойти аутентификацию на устройстве. По системе оценивания опасности уязвимостей CVSS v3 проблема получила максимальные 10 баллов.
Вторая уязвимость (CVE-2018-17922) позволяет без какой-либо аутентификации получить учетные данные PAP (протокола проверки подлинности) для авторизации на устройстве, хранящиеся в открытом виде в файле реестра. По системе оценивания опасности уязвимостей CVSS v3 проблема получила максимальные 10 баллов.
Обе уязвимости можно проэксплуатировать удаленно без каких-либо особых навыков. Пользователям рекомендуется как можно скорее установить новую версию продукта с сайта производителя.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
