Recursos afectados:

Altenergy Power Control Software C1.2.5.

Kaltetutako baliabideak: 

Altenergy Power Control Software C1.2.5.

Azalpena: 

Larritasun kritikoko ahultasun bat aurkitu da Altenergy Power System Control Software-n, APsystems-en mikroinbertsiogileen kontrol softwarea. Hori baliatuz erasotzaile batek pribilegioen eskalatzea egin lezake. Gainera, jakina da ahultasun hori baliatzea ahalbidetuko lukeen PoC (Proof of Concept) bat zabaldu dela.

Konponbidea: 

Oraingoz ez dago konponketa proposamenik.
Gomendatzen da interfazerako sarbidea murriztea fidagarriak diren sare eta ekipoetara, Interneterako agerpena saihestuz.

Xehetasuna: 

Ahultasun bat dago AlAltenergy Power System Control Software C1.2.5-en, shell-en bidez sistema eragileko komandoen injekzioa ahalbidetzen duena ordu eremuaren index.php/management/set_timezone parametroan, set_timezone en models/management_model.php dela eta. Urruneko erasotzaile batek komando arbitrarioak exekuta litzake zerbitzariaren pribilegioak eskuratzeko. Ahultasun horretarako CVE-2023-28343 identifikatzailea esleitu da.