CVE-2022-4945 – CVE-2022-4945
https://notcve.org/view.php?id=CVE-2022-4945
The Dataprobe cloud usernames and passwords are stored in plain text in a specific file. Any user able to read this specific file from the device could compromise other devices connected to the user's cloud. • https://dataprobe.com/support/iboot-pdu/local_upgrade_pdu_procedure.pdf https://www.cisa.gov/news-events/ics-advisories/icsa-22-263-03 •
CVE-2022-3189
https://notcve.org/view.php?id=CVE-2022-3189
Dataprobe iBoot-PDU FW versions prior to 1.42.06162022 contain a vulnerability where a specially crafted PHP script could use parameters from a HTTP request to create a URL capable of changing the host parameter. The changed host parameter in the HTTP could point to another host that will send a request to the host or IP specified in the changed host parameter. Las versiones de FW de Dataprobe iBoot-PDU anteriores a 1.42.06162022 contienen una vulnerabilidad en la que un script PHP especialmente manipulado podría usar parámetros de una solicitud HTTP para crear una URL capaz de cambiar el parámetro del host. El parámetro de host modificado en HTTP podría apuntar a otro host que enviará una solicitud al host o IP especificado en el parámetro de host modificado. • https://www.cisa.gov/uscert/ics/advisories/icsa-22-263-03 • CWE-918: Server-Side Request Forgery (SSRF) •
CVE-2022-3188
https://notcve.org/view.php?id=CVE-2022-3188
Dataprobe iBoot-PDU FW versions prior to 1.42.06162022 contain a vulnerability where unauthenticated users could open PHP index pages without authentication and download the history file from the device; the history file includes the latest actions completed by specific users. Las versiones de firmware de Dataprobe iBoot-PDU anteriores a 1.42.06162022 contienen una vulnerabilidad por la que usuarios no autenticados podían abrir páginas de índice PHP sin autenticación y descargar el archivo histórico del dispositivo; el archivo de historial incluye las últimas acciones completadas por usuarios específicos. • https://www.cisa.gov/uscert/ics/advisories/icsa-22-263-03 • CWE-306: Missing Authentication for Critical Function CWE-863: Incorrect Authorization •
CVE-2022-3187
https://notcve.org/view.php?id=CVE-2022-3187
Dataprobe iBoot-PDU FW versions prior to 1.42.06162022 contain a vulnerability where certain PHP pages only validate when a valid connection is established with the database. However, these PHP pages do not verify the validity of a user. Attackers could leverage this lack of verification to read the state of outlets. Las versiones de FW de Dataprobe iBoot-PDU anteriores a 1.42.06162022 contienen una vulnerabilidad donde ciertas páginas PHP solo se validan cuando se establece una conexión válida con la base de datos. Sin embargo, estas páginas PHP no verifican la validez de un usuario. • https://www.cisa.gov/uscert/ics/advisories/icsa-22-263-03 • CWE-285: Improper Authorization •
CVE-2022-3186
https://notcve.org/view.php?id=CVE-2022-3186
Dataprobe iBoot-PDU FW versions prior to 1.42.06162022 contain a vulnerability where the affected product allows an attacker to access the device’s main management page from the cloud. This feature enables users to remotely connect devices, however, the current implementation permits users to access other device's information. Las versiones de firmware de Dataprobe iBoot-PDU anteriores a la 1.42.06162022 contienen una vulnerabilidad en la que el producto afectado permite a un atacante acceder a la página de administración principal del dispositivo desde la nube. Esta característica permite a los usuarios conectar dispositivos de forma remota; sin embargo, la implementación actual permite a los usuarios acceder a la información de otros dispositivos. • https://www.cisa.gov/uscert/ics/advisories/icsa-22-263-03 • CWE-284: Improper Access Control •