Recursos afectados:
Altenergy Power Control Software C1.2.5.
Kaltetutako baliabideak:
Altenergy Power Control Software C1.2.5.
Azalpena:
Larritasun kritikoko ahultasun bat aurkitu da Altenergy Power System Control Software-n, APsystems-en mikroinbertsiogileen kontrol softwarea. Hori baliatuz erasotzaile batek pribilegioen eskalatzea egin lezake. Gainera, jakina da ahultasun hori baliatzea ahalbidetuko lukeen PoC (Proof of Concept) bat zabaldu dela.
Konponbidea:
Oraingoz ez dago konponketa proposamenik.
Gomendatzen da interfazerako sarbidea murriztea fidagarriak diren sare eta ekipoetara, Interneterako agerpena saihestuz.
Xehetasuna:
Ahultasun bat dago AlAltenergy Power System Control Software C1.2.5-en, shell-en bidez sistema eragileko komandoen injekzioa ahalbidetzen duena ordu eremuaren index.php/management/set_timezone parametroan, set_timezone en models/management_model.php dela eta. Urruneko erasotzaile batek komando arbitrarioak exekuta litzake zerbitzariaren pribilegioak eskuratzeko. Ahultasun horretarako CVE-2023-28343 identifikatzailea esleitu da.