CVE-2018-25236
KrytyczneStreszczenie
Produkty Hirschmann HiOS i HiSecOS, takie jak RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED, EAGLE, zawierają podatność na obejście uwierzytelniania w module zarządzania HTTP(S). Umożliwia to nieautoryzowanym atakującym zdalny dostęp administracyjny poprzez odpowiednio skonstruowane żądania HTTP.
Ocena ryzyka
Atakujący mogą wykorzystać niewłaściwe zarządzanie uwierzytelnianiem, aby uzyskać status uwierzytelnienia i uprawnienia wcześniej uwierzytelnionego użytkownika, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację oprogramowania do najnowszej wersji, która naprawia tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie i ograniczenie dostępu do modułu zarządzania.
Oryginalny opis (angielski, źródło NVD)
Hirschmann HiOS and HiSecOS products RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED, EAGLE contain an authentication bypass vulnerability in the HTTP(S) management module that allows unauthenticated remote attackers to gain administrative access by crafting specially formed HTTP requests. Attackers can exploit improper authentication handling to obtain the authentication status and privileges of a previously authenticated user without providing valid credentials.

