CVE-2022-33176

Crític: (9.8)

CVSS3: 8.5

El Firmware PDU de Powertek podria permetre a un atacant remot saltar-se les restriccions de seguretat, a causa d’una configuració de permisos insegura en el camp user.token. En enviar una sol·licitud especialment dissenyada utilitzant l’API HTTP /cgi/get_param.cgi, un atacant podria aprofitar aquesta vulnerabilitat per a actuar com a administrador per obtenir la contrasenya en text clar o reconfigurar el dispositiu.

Sistemes Afectats

• Powertek PDU firmware 3.30.17

Remediació
Actualitza a l’última versió del firmware de Powertek (3.30.30 o posterior), disponible en el lloc web de Powertek.

Referències

• https://gynvael.coldwind.pl/?lang=en&id=748
• https://www.powertekpdus.com/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-33175