CVE-2023-3266

CVE

Критический

В производственном приложении существует неполный механизм аутентификац�…

CVSS

9.8

Критический

EPSS

0.00

p23

Опубликовано

2023-01-01

Обновлено

2023-01-01

Описание

В производственном приложении существует неполный механизм аутентификации, позволяющий злоумышленнику обойти все проверки аутентификации, если выбрана аутентификация LDAP. Не прошедший проверку подлинности злоумышленник может использовать эту уязвимость для входа в CypberPower PowerPanel Enterprise в качестве администратора, выбрав аутентификацию LDAP из скрытого раскрывающегося списка HTML. Успешная эксплуатация этой уязвимости также требует, чтобы злоумышленник знал хотя бы одно имя пользователя на устройстве, но любой пароль будет успешно аутентифицирован.

Теги · CWE

Без аутентификации

CWE-358

Затронутые продукты

Powerpanel_server < 2.6.9

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Хронология

2023-01-01

Опубликована

2023-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: H

Высокое (H)

Воздействие на доступность

A: H

Высокое (H)

Индикаторы эксплуатации

EPSS

0.001 · p23

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Уязвимое ПО

Продукт	Вендор	Статус
powerpanel_server	*	Отслеживается

Источники данных

CVE