CyberPowerが提供するPowerPanel Businessには、複数の脆弱性が存在します。

• PowerPanel Business 4.9.0およびそれ以前

CyberPowerが提供するPowerPanel Businessには、次の複数の脆弱性が存在します。

• ハードコードされたパスワードの使用（CWE-259）－CVE-2024-34025、CVE-2024-33625
• 相対パストラバーサル（CWE-23）－CVE-2024-33615
• ハードコードされた認証情報の使用（CWE-798）－CVE-2024-32053
• 利用可能なデバッグ機能（CWE-489）－CVE-2024-32047
• 復元可能な形式でのパスワード保存（CWE-257）－CVE-2024-32042
• SQLインジェクション（CWE-89）－CVE-2024-31856
• ハードコードされた暗号鍵の使用（CWE-321）－CVE-2024-31410
• 不適切な認可（CWE-285）－CVE-2024-31409

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 認証を回避され、管理者権限を取得される（CVE-2024-34025）
• JWTトークンを偽造され、認証を回避される（CVE-2024-33625）
• 細工されたZipファイルをインポートされた場合、意図した範囲外のサーバへのファイルの書き込みが可能になり、結果としてリモートからコードを実行される（CVE-2024-33615）
• 当該アプリケーションの権限でサービスにアクセスされる（CVE-2024-32053）
• 当該サーバにアクセスされる（CVE-2024-32047）
• 暗号化されたパスワードを復号される（CVE-2024-32042）
• 特定のMQTTアクセス許可を持つ攻撃者によって、当該デバイスに対して細工されたメッセージを挿入され、当該システム内に任意のファイルを書き込まれたり、リモートからコードを実行されたりする（CVE-2024-31856）
• 攻撃者によって、当該システム内のクライアントになりすまされ、悪意のあるデータを送信される（CVE-2024-31410）
• 当該システムからデータを窃取される（CVE-2024-31409）

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報をご確認ください。