Produkt | CHARX SEC-3000 ver.<= 1.5.1 CHARX SEC-3050 ver.<= 1.5.1 CHARX SEC-3100 ver.<= 1.5.1 CHARX SEC-3150 ver.<= 1.5.1 |
Numer CVE | CVE-2024-28133 |
Krytyczność | 7,8/10 |
CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | Lokalny atakujący z niskimi uprawnieniami może użyć niezaufanej ścieżki wyszukiwania w narzędziu systemowym CHARX, aby uzyskać uprawnienia roota. |
Numer CVE | CVE-2024-28136 |
Krytyczność | 7,8/10 |
CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | Lokalny atakujący z niskimi uprawnieniami może wykorzystać lukę w zabezpieczeniach umożliwiającą wstrzykiwanie poleceń, aby uzyskać uprawnienia roota w wyniku nieprawidłowej weryfikacji danych wejściowych przy użyciu usługi zdalnej OCPP. |
Numer CVE | CVE-2024-28137 |
Krytyczność | 7,8/10 |
CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | Lokalny atakujący z niskimi uprawnieniami może wykonać eskalację uprawnień dzięki skryptu inicjującego ze względu na lukę w zabezpieczeniach TOCTOU. |
Numer CVE | CVE-2024-28134 |
Krytyczność | 7,0/10 |
CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H |
Opis | Nieuwierzytelniony zdalny atakujący może wyodrębnić token sesji dzięki ataku MitM i uzyskać dostęp do zarządzania przez Internet z uprawnieniami aktualnie zalogowanego użytkownika dzięki transmisji poufnych informacji w postaci zwykłego tekstu. Nie jest wymagana żadna dodatkowa interakcja użytkownika. Dostęp jest ograniczony, ponieważ można uzyskać jedynie informacje niewrażliwe, ale ich dostępność może być poważnie ograniczona. |
Aktualizacja | TAK |
Link | https://cert.vde.com/en/advisories/VDE-2024-019/ |