Powerpanel Server
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.06765
Распределение по критичности
Критический
4
Высокий
7
Средний
0
Низкий
0
Затронутые диапазоны версий
< 2.6.9< 2.8.3
Также сопоставлено как (исходные строки): powerpanel_server
Топ уязвимостей
CVE-2024-32735В CyberPower PowerPanel Enterprise до версии 2.8.3 существует проблема, связанная с отсутствием аутентификации для определенных утилит. Неаутентифицированный удаленный злоумышленник может получить доступ к PDNU REST API, что может привести к компрометации приложения.
CVE-2023-3266В производственном приложении существует неполный механизм аутентификации, позволяющий злоумышленнику обойти все проверки аутентификации, если выбрана аутентификация LDAP. Не прошедший проверку подлинности злоумышленник может использовать эту уязвимость для входа в CypberPower PowerPanel Enterprise в качестве администратора, выбрав аутентификацию LDAP из скрытого раскрывающегося списка HTML. Успешная эксплуатация этой уязвимости также требует, чтобы злоумышленник знал хотя бы одно имя пользователя на устройстве, но любой пароль будет успешно аутентифицирован.
CVE-2023-3265Существует обход аутентификации в CyberPower PowerPanel Enterprise из-за невозможности очистить метасимволы из имени пользователя, что позволяет злоумышленнику войти в приложение с пользователем по умолчанию «cyberpower», добавив непечатаемый символ. Не прошедший проверку подлинности злоумышленник может использовать эту уязвимость для входа в CypberPower PowerPanel Enterprise в качестве администратора с жестко закодированными учетными данными по умолчанию.
CVE-2023-3264Dataprobe iBoot PDU с версией прошивки 1.43.03312023 или более ранней использует жестко закодированные учетные данные для всех взаимодействий с внутренней базой данных Postgres. Злоумышленник, имеющий возможность выполнять команды операционной системы на устройстве, может использовать эту уязвимость для чтения, изменения или удаления произвольных записей базы данных.
CVE-2023-3267При добавлении удаленного местоположения резервного копирования аутентифицированный пользователь может передавать произвольные команды ОС через поле имени пользователя. Имя пользователя передается без очистки в CMD, работающей как NT/Authority System. Аутентифицированный злоумышленник может использовать эту уязвимость для выполнения произвольного кода с системным уровнем доступа к серверу CyberPower PowerPanel Enterprise.
CVE-2023-3260Dataprobe iBoot PDU с версией прошивки 1.43.03312023 или более ранней уязвим для внедрения команд через параметр URL `user-name`. Аутентифицированный злоумышленник может использовать эту уязвимость для выполнения произвольных команд в базовой операционной системе Linux.
CVE-2024-32739В CyberPower PowerPanel Enterprise до версии 2.8.3 существует уязвимость, связанная с SQL-инъекцией. Неаутентифицированный удаленный злоумышленник может раскрыть конфиденциальную информацию через функцию "query_ptask_verbose" в MCUDBHelper.
CVE-2024-32738В CyberPower PowerPanel Enterprise до версии 2.8.3 существует уязвимость, связанная с SQL-инъекцией. Неаутентифицированный удаленный злоумышленник может раскрыть конфиденциальную информацию через функцию "query_ptask_lean" в MCUDBHelper.
CVE-2024-32737В CyberPower PowerPanel Enterprise до версии 2.8.3 существует уязвимость, связанная с SQL-инъекцией. Неаутентифицированный удаленный злоумышленник может раскрыть конфиденциальную информацию через функцию "query_contract_result" в MCUDBHelper.
CVE-2024-32736В CyberPower PowerPanel Enterprise до версии 2.8.3 существует уязвимость, связанная с SQL-инъекцией. Неаутентифицированный удаленный злоумышленник может раскрыть конфиденциальную информацию через функцию "query_utask_verbose" в MCUDBHelper.
CVE-2023-3261Dataprobe iBoot PDU с версией прошивки 1.43.03312023 или более ранней содержит уязвимость переполнения буфера в библиотеке librta.so.0.0.0. Успешная эксплуатация может вызвать отказ в обслуживании или неожиданное поведение по отношению ко всем взаимодействиям, зависящим от целевого уязвимого двоичного файла, включая возможность входа в систему через веб-сервер.