| Produkt | CHARX SEC-3000 ver.<= 1.5.1 CHARX SEC-3050 ver.<= 1.5.1 CHARX SEC-3100 ver.<= 1.5.1 CHARX SEC-3150 ver.<= 1.5.1 |
| Numer CVE | CVE-2024-28133 |
| Krytyczność | 7,8/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Lokalny atakujący z niskimi uprawnieniami może użyć niezaufanej ścieżki wyszukiwania w narzędziu systemowym CHARX, aby uzyskać uprawnienia roota. |
| Numer CVE | CVE-2024-28136 |
| Krytyczność | 7,8/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Lokalny atakujący z niskimi uprawnieniami może wykorzystać lukę w zabezpieczeniach umożliwiającą wstrzykiwanie poleceń, aby uzyskać uprawnienia roota w wyniku nieprawidłowej weryfikacji danych wejściowych przy użyciu usługi zdalnej OCPP. |
| Numer CVE | CVE-2024-28137 |
| Krytyczność | 7,8/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Lokalny atakujący z niskimi uprawnieniami może wykonać eskalację uprawnień za pomocą skryptu inicjującego ze względu na lukę w zabezpieczeniach TOCTOU. |
| Numer CVE | CVE-2024-28134 |
| Krytyczność | 7,0/10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H |
| Opis | Nieuwierzytelniony zdalny atakujący może wyodrębnić token sesji za pomocą ataku MitM i uzyskać dostęp do zarządzania przez Internet z uprawnieniami aktualnie zalogowanego użytkownika dzięki transmisji poufnych informacji w postaci zwykłego tekstu. Nie jest wymagana żadna dodatkowa interakcja użytkownika. Dostęp jest ograniczony, ponieważ można uzyskać jedynie informacje niewrażliwe, ale ich dostępność może być poważnie ograniczona. |
| Aktualizacja | TAK |
| Link | https://cert.vde.com/en/advisories/VDE-2024-019/ |
Podatności i aktualizacje do produktów firmy PHOENIX CONTACT (P24-164)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny