Control de acceso inadecuado en productos de APsystems
Los siguientes modelos y versiones de Energy Communication Unit Power Control Software están afectados:
- C1.2.2;
- v3.11.4;
- W2.1.NA;
- v4.1SAA;
- v4.1NA.
CISA descubrió una prueba de concepto (PoC) pública, del autor Momen Eldawakhly, documentando a partir de ella una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante acceder a datos sensibles y ejecutar comandos y funciones específicas con plenos derechos de administrador sin autenticarse.
El fabricante no respondió a los intentos de coordinación de CISA. Se recomienda a los usuarios de los productos afectados que se pongan en contacto con APSystems para obtener información adicional.
CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad.
Vulnerabilidad de control de acceso inadecuado, que permite a los atacantes acceder a datos sensibles y ejecutar comandos y funciones específicas con plenos derechos de administrador.
Se ha asignado el identificador CVE-2022-44037 para esta vulnerabilidad.
