CVE-2018-25236
CriticalSummary
Produkty Hirschmann HiOS i HiSecOS, takie jak RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED, EAGLE, zawierają podatność na obejście uwierzytelniania w module zarządzania HTTP(S). Umożliwia to nieautoryzowanym atakującym zdalny dostęp administracyjny poprzez odpowiednio skonstruowane żądania HTTP.
Risk Assessment
Atakujący mogą wykorzystać niewłaściwe zarządzanie uwierzytelnianiem, aby uzyskać status uwierzytelnienia i uprawnienia wcześniej uwierzytelnionego użytkownika, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację oprogramowania do najnowszej wersji, która naprawia tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie i ograniczenie dostępu do modułu zarządzania.
Original NVD description (English source)
Hirschmann HiOS and HiSecOS products RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED, EAGLE contain an authentication bypass vulnerability in the HTTP(S) management module that allows unauthenticated remote attackers to gain administrative access by crafting specially formed HTTP requests. Attackers can exploit improper authentication handling to obtain the authentication status and privileges of a previously authenticated user without providing valid credentials.

