Обе уязвимости можно проэксплуатировать удаленно без каких-либо особых навыков.
В решении для зарядки электромобилей CirCarLife от испанской компании Circontrol исправлены две уязвимости, позволяющие удаленному атакующему похитить учетные данные в открытом виде с целью обхода аутентификации, а также получить доступ к конфиденциальным данным. Проблема затрагивает все версии CirCarLife до 4.3.1.
С помощью первой уязвимости (CVE-2018-17918) злоумышленник может ввести URL определенной страницы и тем самым обойти аутентификацию на устройстве. По системе оценивания опасности уязвимостей CVSS v3 проблема получила максимальные 10 баллов.
Вторая уязвимость (CVE-2018-17922) позволяет без какой-либо аутентификации получить учетные данные PAP (протокола проверки подлинности) для авторизации на устройстве, хранящиеся в открытом виде в файле реестра. По системе оценивания опасности уязвимостей CVSS v3 проблема получила максимальные 10 баллов.
Обе уязвимости можно проэксплуатировать удаленно без каких-либо особых навыков. Пользователям рекомендуется как можно скорее установить новую версию продукта с сайта производителя.
5778 К? Пф! У нас градус знаний зашкаливает!