CVE-2024-14034
CriticalSummary
Urządzenia Hirschmann HiEOS w wersjach przed 01.1.00 zawierają podatność na obejście uwierzytelniania w module zarządzania HTTP(S). Umożliwia to nieautoryzowanym atakującym zdalny dostęp administracyjny poprzez wysyłanie specjalnie skonstruowanych żądań HTTP(S).
Risk Assessment
Atakujący mogą wykorzystać niewłaściwe zarządzanie uwierzytelnianiem do uzyskania podwyższonych uprawnień, co pozwala na nieautoryzowane działania, takie jak pobieranie lub przesyłanie konfiguracji oraz modyfikacja oprogramowania układowego.
Recommendation
Zaleca się aktualizację urządzeń Hirschmann HiEOS do wersji 01.1.00 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony przed nieautoryzowanym dostępem.
Original NVD description (English source)
Hirschmann HiEOS devices versions prior to 01.1.00 contain an authentication bypass vulnerability in the HTTP(S) management module that allows unauthenticated remote attackers to gain administrative access by sending specially crafted HTTP(S) requests. Attackers can exploit improper authentication handling to obtain elevated privileges and perform unauthorized actions including configuration download or upload and firmware modification.

