V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
К каталогу
CVE-2023-3266
CVE
Критический

В производственном приложении существует неполный механизм аутентификации, позволяющий злоумышленнику обойти все проверки аутентификации, е…

CVSS
9.8
Критический
EPSS
0.01
p52
Опубликовано
2023-01-01
Обновлено
2023-01-01
Описание

В производственном приложении существует неполный механизм аутентификации, позволяющий злоумышленнику обойти все проверки аутентификации, если выбрана аутентификация LDAP. Не прошедший проверку подлинности злоумышленник может использовать эту уязвимость для входа в CypberPower PowerPanel Enterprise в качестве администратора, выбрав аутентификацию LDAP из скрытого раскрывающегося списка HTML. Успешная эксплуатация этой уязвимости также требует, чтобы злоумышленник знал хотя бы одно имя пользователя на устройстве, но любой пароль будет успешно аутентифицирован.

Теги · CWE
Без аутентификации
CWE-358
Затронутые продукты
Powerpanel_server < 2.6.9
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2023-01-01
Опубликована
2023-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.008 · p52
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
Cyberpower
Powerpanel Server
ПродуктВендорСтатус
powerpanel_server*Отслеживается
Источники данных
CVE