Katalog CVE

CVE-2024-14034

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Urządzenia Hirschmann HiEOS w wersjach przed 01.1.00 zawierają podatność na obejście uwierzytelniania w module zarządzania HTTP(S). Umożliwia to nieautoryzowanym atakującym zdalny dostęp administracyjny poprzez wysyłanie specjalnie skonstruowanych żądań HTTP(S).

Ocena ryzyka

Atakujący mogą wykorzystać niewłaściwe zarządzanie uwierzytelnianiem do uzyskania podwyższonych uprawnień, co pozwala na nieautoryzowane działania, takie jak pobieranie lub przesyłanie konfiguracji oraz modyfikacja oprogramowania układowego.

Rekomendacja

Zaleca się aktualizację urządzeń Hirschmann HiEOS do wersji 01.1.00 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony przed nieautoryzowanym dostępem.

Oryginalny opis (angielski, źródło NVD)

Hirschmann HiEOS devices versions prior to 01.1.00 contain an authentication bypass vulnerability in the HTTP(S) management module that allows unauthenticated remote attackers to gain administrative access by sending specially crafted HTTP(S) requests. Attackers can exploit improper authentication handling to obtain elevated privileges and perform unauthorized actions including configuration download or upload and firmware modification.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS