CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-31409 – CyberPower PowerPanel business Improper Authorization
https://notcve.org/view.php?id=CVE-2024-31409
Certain MQTT wildcards are not blocked on the CyberPower PowerPanel system, which might result in an attacker obtaining data from throughout the system after gaining access to any device. Ciertos comodines MQTT no están bloqueados en el sistema CyberPower PowerPanel, lo que podría provocar que un atacante obtenga datos de todo el sistema después de obtener acceso a cualquier dispositivo. • https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01 https://www.cyberpower.com/global/en/product/sku/powerpanel_business_for_windows#downloads • CWE-285: Improper Authorization •
CVSS: 7.7EPSS: 0%CPEs: 1EXPL: 0CVE-2024-31410 – CyberPower PowerPanel business Use of Hard-coded Cryptographic Key
https://notcve.org/view.php?id=CVE-2024-31410
The devices which CyberPower PowerPanel manages use identical certificates based on a hard-coded cryptographic key. This can allow an attacker to impersonate any client in the system and send malicious data. Los dispositivos que gestiona CyberPower PowerPanel utilizan certificados idénticos basados en una clave criptográfica codificada. Esto puede permitir que un atacante se haga pasar por cualquier cliente del sistema y envíe datos maliciosos. • https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01 https://www.cyberpower.com/global/en/product/sku/powerpanel_business_for_windows#downloads • CWE-321: Use of Hard-coded Cryptographic Key •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-31856 – CyberPower PowerPanel business SQL Injection
https://notcve.org/view.php?id=CVE-2024-31856
An attacker with certain MQTT permissions can create malicious messages to all CyberPower PowerPanel devices. This could result in an attacker injecting SQL syntax, writing arbitrary files to the system, and executing remote code. Un atacante con ciertos permisos MQTT puede crear mensajes maliciosos para todos los dispositivos CyberPower PowerPanel. Esto podría provocar que un atacante inyecte sintaxis SQL, escriba archivos arbitrarios en el sistema y ejecute código remoto. • https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01 https://www.cyberpower.com/global/en/product/sku/powerpanel_business_for_windows#downloads • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0CVE-2024-32042 – CyberPower PowerPanel business Storing Passwords in a Recoverable Format
https://notcve.org/view.php?id=CVE-2024-32042
The key used to encrypt passwords stored in the database can be found in the CyberPower PowerPanel application code, allowing the passwords to be recovered. La clave utilizada para cifrar las contraseñas almacenadas en la base de datos se puede encontrar en el código de la aplicación CyberPower PowerPanel, lo que permite recuperar las contraseñas. • https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01 https://www.cyberpower.com/global/en/product/sku/powerpanel_business_for_windows#downloads • CWE-257: Storing Passwords in a Recoverable Format •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-32047 – CyberPower PowerPanel business Active Debug Code
https://notcve.org/view.php?id=CVE-2024-32047
Hard-coded credentials for the CyberPower PowerPanel test server can be found in the production code. This might result in an attacker gaining access to the testing or production server. Las credenciales codificadas para el servidor de prueba CyberPower PowerPanel se pueden encontrar en el código de producción. Esto podría provocar que un atacante obtenga acceso al servidor de prueba o de producción. • https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01 https://www.cyberpower.com/global/en/product/sku/powerpanel_business_for_windows#downloads • CWE-489: Active Debug Code •