CVE-2022-33174

ALT: (8.8)

CVSS3: 7.7

Powertek PDU Firmware podria permetre a un atacant remot obtenir informació sensible, causada per un error de bypass d’autorització a la interfície web. Mitjançant l’enviament d’un paquet HTTP especialment elaborat a la interfície de recuperació de dades, un atacant podria explotar aquesta vulnerabilitat per aconseguir informació protegida en els camps sys.passwd i sys.su.name en text clar, i utilitzar aquesta informació per llançar més atacs contra el sistema afectat.

Sistemes Afectats

• Powertek PDU firmware 3.30.17

Remediació
Actualitza a l’última versió del Firmware Powertek (3.30.30 o posterior), disponible des del lloc web de Powertek.

Referències

• https://github.com/google/kctf/security/advisories/GHSA-4g2v-6qc6-6jv5
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31055