Kaltetutako baliabideak:

• Element backup, F21000400 baino lehenagoko bertsioak.

• 2e.3.8.0 baino lehenagoko bertsioa duten ondoko produktuak:

• Element S1.
• Element S2.
• Element S3.
• One L/XL.

• Element S3, 2e.4.4.0 baino lehenagoko bertsioak.

• Element S4, D21010400 baino lehenagoko bertsioak.

• Pulse (pulse neo gabe), C21010800 baino lehenagoko bertsioak.

Azalpena:

Andreas Dolp segurtasun ikertzaileak, CERT@VDE-ren koordinazio eta laguntzarekin, ahultasun kritiko bat aurkitu du hainbat VARTA produktutan, eta fabrikatzaileari berari horren berri eman dio. Ahultasun hau baliatuz gero erasotzaile batek webaren backend-era sarbidea lor lezake fitxategiak irakurri eta aldatzeko.

Konponbidea:

OTA bidez bertsio zuzentzaile bat argitaratuko da. Element backup-en hedapena 2023ko lehen hiruhilekoaren amaieran hasiko da eta ondoren Element S4 etorriko da. Ordu bitartean gomendatzen da energiaren biltegiratze sistemarako HTTP trafikoa murriztea firewall bat edo sare mailako beste segurtasun neurri batzuk erabiliz.

Xehetasuna:

VARTAren hainbat produktutan webaren erabiltzaile interfazean testu argian kodetutako kredentzialak baliatuz, baimendu gabeko erasotzaile batek sarbide administratiboa eskura lezake backend-era irakurketa eta idazketa baimenekin. Ahultasun horretarako CVE-2022-22512 identifikatzailea esleitu da.