23 results (0.015 seconds)

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

Certain MQTT wildcards are not blocked on the CyberPower PowerPanel system, which might result in an attacker obtaining data from throughout the system after gaining access to any device. Ciertos comodines MQTT no están bloqueados en el sistema CyberPower PowerPanel, lo que podría provocar que un atacante obtenga datos de todo el sistema después de obtener acceso a cualquier dispositivo. • https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01 https://www.cyberpower.com/global/en/product/sku/powerpanel_business_for_windows#downloads • CWE-285: Improper Authorization •

CVSS: 7.7EPSS: 0%CPEs: 1EXPL: 0

The devices which CyberPower PowerPanel manages use identical certificates based on a hard-coded cryptographic key. This can allow an attacker to impersonate any client in the system and send malicious data. Los dispositivos que gestiona CyberPower PowerPanel utilizan certificados idénticos basados en una clave criptográfica codificada. Esto puede permitir que un atacante se haga pasar por cualquier cliente del sistema y envíe datos maliciosos. • https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01 https://www.cyberpower.com/global/en/product/sku/powerpanel_business_for_windows#downloads • CWE-321: Use of Hard-coded Cryptographic Key •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0

An attacker with certain MQTT permissions can create malicious messages to all CyberPower PowerPanel devices. This could result in an attacker injecting SQL syntax, writing arbitrary files to the system, and executing remote code. Un atacante con ciertos permisos MQTT puede crear mensajes maliciosos para todos los dispositivos CyberPower PowerPanel. Esto podría provocar que un atacante inyecte sintaxis SQL, escriba archivos arbitrarios en el sistema y ejecute código remoto. • https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01 https://www.cyberpower.com/global/en/product/sku/powerpanel_business_for_windows#downloads • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0

The key used to encrypt passwords stored in the database can be found in the CyberPower PowerPanel application code, allowing the passwords to be recovered. La clave utilizada para cifrar las contraseñas almacenadas en la base de datos se puede encontrar en el código de la aplicación CyberPower PowerPanel, lo que permite recuperar las contraseñas. • https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01 https://www.cyberpower.com/global/en/product/sku/powerpanel_business_for_windows#downloads • CWE-257: Storing Passwords in a Recoverable Format •

CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0

Hard-coded credentials for the CyberPower PowerPanel test server can be found in the production code. This might result in an attacker gaining access to the testing or production server. Las credenciales codificadas para el servidor de prueba CyberPower PowerPanel se pueden encontrar en el código de producción. Esto podría provocar que un atacante obtenga acceso al servidor de prueba o de producción. • https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01 https://www.cyberpower.com/global/en/product/sku/powerpanel_business_for_windows#downloads • CWE-489: Active Debug Code •