Produkt | InfraSuite Device Master – wersja 00.00.01a I wcześniejsze |
Numer CVE | CVE-2022-41778 |
Krytyczność | 9,8/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Opis | Delta Electronics InfraSuite Device Master wersje 00.00.01a i wcześniejsze deserializują dane dostarczane przez użytkownika przez port serwisowy Device-DataCollect bez odpowiedniej weryfikacji. Osoba atakująca może dostarczyć złośliwe zserializowane obiekty w celu wykonania dowolnego kodu po deserializacji. |
| |
Numer CVE | CVE-2022-38142 |
Krytyczność | 9,8/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Opis | Delta Electronics InfraSuite Device Master, wersje 00.00.01a i wcześniejsze, deserializują dane dostarczone przez użytkownika przez port serwisowy Device-Gateway bez odpowiedniej weryfikacji. Osoba atakująca może dostarczyć złośliwe zserializowane obiekty w celu wykonania dowolnego kodu po deserializacji. |
| |
Numer CVE | CVE-2022-41779 |
Krytyczność | 8,8/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Opis | Delta Electronics InfraSuite Device Master, wersje 00.00.01a i wcześniejsze, deserializują pakiety sieciowe bez odpowiedniej weryfikacji. Jeśli urządzenie połączy się z serwerem kontrolowanym przez atakującego, osoba atakująca może wysłać złośliwie spreparowane pakiety, które zostaną zdeserializowane i wykonane, co prowadzi do zdalnego wykonania kodu. |
| |
Numer CVE | CVE-2022-41657 |
Krytyczność | 9,8/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Opis | Delta Electronics InfraSuite Device Master Wersje 00.00.01a i wcześniejsze umożliwiają atakującemu dane już zserializowane w pamięci do wykorzystania w programowalnych interfejsach aplikacji (API) do obsługi plików. Mogłoby to tworzyć dowolne pliki, które mogłyby zostać użyte w operacjach API i ostatecznie doprowadzić do zdalnego wykonania kodu. |
| |
Numer CVE | CVE-2022-41772 |
Krytyczność | 9.8/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Opis | Delta Electronics InfraSuite Device Master Wersje 00.00.01a i wcześniejsze niewłaściwie obsługiwały archiwa .ZIP zawierające znaki używane w przemierzaniu ścieżki. To przechodzenie ścieżki może spowodować zdalne wykonanie kodu. |
| |
Numer CVE | CVE-2022-40202 |
Krytyczność | 9,8/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Opis | Funkcja kopii zapasowej bazy danych w Delta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych nie ma odpowiedniego uwierzytelnienia. Osoba atakująca może dostarczyć złośliwe zserializowane obiekty, które w przypadku deserializacji mogą aktywować kod operacji dla funkcji planowania tworzenia kopii zapasowych bez uwierzytelniania. Ta funkcja umożliwia użytkownikowi wyznaczenie wszystkich argumentów funkcji i pliku do wykonania. Może to umożliwić atakującemu rozpoczęcie dowolnego nowego procesu i zdalne wykonanie kodu. |
| |
Numer CVE | CVE-2022-41688 |
Krytyczność | 9,8/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Opis | Delta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych nie posiada odpowiedniego uwierzytelnienia dla funkcji tworzących i modyfikujących grupy użytkowników. Osoba atakująca może dostarczyć złośliwe obiekty serializowane, które mogą uruchamiać te funkcje bez uwierzytelniania, aby utworzyć nowego użytkownika i dodać go do grupy administratorów. |
| |
Numer CVE | CVE-2022-41644 |
Krytyczność | 8,8/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Opis | Delta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych nie posiada uwierzytelnienia dla funkcji zmieniającej uprawnienia grupy. Osoba atakująca może to wykorzystać do utworzenia stanu odmowy usługi lub eskalacji własnych uprawnień. |
| |
Numer CVE | CVE-2022-41776 |
Krytyczność | 7,5/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Opis | Delta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych umożliwia nieuwierzytelnionym użytkownikom wyzwolenie metody WriteConfiguration, co może umożliwić atakującemu dostarczenie nowych wartości dla plików konfiguracyjnych użytkownika, takich jak UserListInfo.xml. Może to prowadzić do zmiany haseł administracyjnych. |
| |
Numer CVE | CVE-2022-41629 |
Krytyczność | 7,5/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Opis | Delta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych umożliwia nieuwierzytelnionym użytkownikom dostęp do punktu końcowego oczyszczania, co może umożliwić osobie atakującej pobranie dowolnego pliku z katalogu „RunningConfigs”. Atakujący mógłby następnie przeglądać i modyfikować pliki konfiguracyjne, takie jak UserListInfo.xml, co pozwoliłoby mu zobaczyć istniejące hasła administracyjne. |
| |
Aktualizacja | TAK |
Link | https://www.cisa.gov/uscert/ics/advisories/icsa-22-298-07 |