CVE-2024-14034
KrytyczneStreszczenie
Urządzenia Hirschmann HiEOS w wersjach przed 01.1.00 zawierają podatność na obejście uwierzytelniania w module zarządzania HTTP(S). Umożliwia to nieautoryzowanym atakującym zdalny dostęp administracyjny poprzez wysyłanie specjalnie skonstruowanych żądań HTTP(S).
Ocena ryzyka
Atakujący mogą wykorzystać niewłaściwe zarządzanie uwierzytelnianiem do uzyskania podwyższonych uprawnień, co pozwala na nieautoryzowane działania, takie jak pobieranie lub przesyłanie konfiguracji oraz modyfikacja oprogramowania układowego.
Rekomendacja
Zaleca się aktualizację urządzeń Hirschmann HiEOS do wersji 01.1.00 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony przed nieautoryzowanym dostępem.
Oryginalny opis (angielski, źródło NVD)
Hirschmann HiEOS devices versions prior to 01.1.00 contain an authentication bypass vulnerability in the HTTP(S) management module that allows unauthenticated remote attackers to gain administrative access by sending specially crafted HTTP(S) requests. Attackers can exploit improper authentication handling to obtain elevated privileges and perform unauthorized actions including configuration download or upload and firmware modification.

