CVE-2023-24215
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
W oprogramowaniu NOVUS AirGate 4G w wersji 1.1.16 wykryto podatność w punkcie końcowym /uci/get/. Brak odpowiedniej kontroli dostępu umożliwia nieuwierzytelnionemu atakującemu uzyskanie danych logowania administratora poprzez spreparowane żądanie POST.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia pełnej kontroli nad urządzeniem przez nieautoryzowanego atakującego, co może prowadzić do naruszenia poufności i integralności sieci oraz danych.
Rekomendacja
Należy niezwłocznie zaktualizować oprogramowanie sprzętowe NOVUS AirGate 4G do najnowszej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, należy ograniczyć dostęp do interfejsu administracyjnego tylko do zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
Incorrect access control in the /uci/get/ endpoint of NOVUS AirGate 4G firmware v1.1.16 allows unauthenticated attackers to obtain administrator credentials via a crafted POST request.

