CVE-2022-31491
KrytyczneStreszczenie
Voltronic Power ViewPower w wersjach do 1.04-24215, ViewPower Pro do 2.0-22165 oraz PowerShield Netguard przed 1.04-23292 umożliwia zdalnemu atakującemu uruchomienie dowolnego kodu poprzez nieokreślony interfejs webowy związany z wykrywaniem wyłączania zarządzanego UPS-a. Atakujący nieautoryzowany może wykorzystać tę podatność do natychmiastowego uruchomienia dowolnego kodu, niezależnie od stanu lub obecności zarządzanego UPS-a.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Atakujący może wykorzystać tę lukę do wprowadzenia złośliwego oprogramowania lub kradzieży danych.
Rekomendacja
Zaleca się aktualizację oprogramowania do najnowszych wersji, które eliminują tę podatność. Dodatkowo, warto wdrożyć odpowiednie zabezpieczenia sieciowe, aby ograniczyć dostęp do interfejsów webowych urządzeń UPS.
Oryginalny opis (angielski, źródło NVD)
Voltronic Power ViewPower through 1.04-24215, ViewPower Pro through 2.0-22165, and PowerShield Netguard before 1.04-23292 allows a remote attacker to run arbitrary code via an unspecified web interface related to detection of a managed UPS shutting down. An unauthenticated attacker can use this to run arbitrary code immediately regardless of any managed UPS state or presence.

