CVE-2018-25134
KrytyczneStreszczenie
Synaccess netBooter NP-02x/NP-08x w wersji 6.8 zawiera podatność na obejście uwierzytelniania w skrypcie webNewAcct.cgi, która pozwala nieautoryzowanym atakującym na tworzenie kont użytkowników z uprawnieniami administratora. Atakujący mogą wykorzystać brak kontroli, wysyłając odpowiednio skonstruowane żądania POST.
Ocena ryzyka
Podatność ta umożliwia atakującym uzyskanie nieautoryzowanego dostępu do zarządzania zasilaniem, co może prowadzić do poważnych zakłóceń w działaniu systemów. Organizacje mogą być narażone na utratę kontroli nad infrastrukturą zasilania.
Rekomendacja
Zaleca się aktualizację urządzeń do najnowszej wersji oprogramowania, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń, aby ograniczyć dostęp do interfejsu zarządzania.
Oryginalny opis (angielski, źródło NVD)
Synaccess netBooter NP-02x/NP-08x 6.8 contains an authentication bypass vulnerability in the webNewAcct.cgi script that allows unauthenticated attackers to create admin user accounts. Attackers can exploit the missing control check by sending crafted POST requests to create administrative accounts and gain unauthorized control over power supply management.

