Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Dutch Institute for Vulnerability Disclosure (CVE-2024-43651)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
09/01/2025
Última modificación:
15/04/2026

Descripción

Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando ('Inyección de comando') permite la inyección de comandos del sistema operativo como superusuario este problema afecta al firmware de Iocharger para modelos AC anteriores a la versión 241207101 Probabilidad: Moderada: el binario no parece ser utilizado por la interfaz web, por lo que podría ser más difícil de encontrar. Sin embargo, parece ser en gran medida el mismo binario que utiliza la estación de carga Pedestal de Iocharger. El atacante también necesitará una cuenta (con privilegios bajos) para obtener acceso al binario o convencer a un usuario con dicho acceso para que ejecute una solicitud HTTP manipulada. Impacto: Crítico: el atacante tiene control total sobre la estación de carga como usuario superusuario y puede agregar, modificar y eliminar archivos y servicios de forma arbitraria. Aclaración de CVSS: cualquier conexión de red que sirva a la interfaz web es vulnerable (AV:N) y no hay medidas adicionales para eludirla (AC:L) ni el ataque requiere que se presenten condiciones especiales (AT:N). El ataque requiere autenticación, pero el nivel no importa (PR:L), ni se requiere interacción del usuario (UI:N). El ataque lleva a un ataque completo (VC:H/VI:H/VA:H) y un dispositivo atacado puede usarse para "pivotar" potencialmente hacia una red que no debería ser accesible (SC:L/SI:L/SA:H). Debido a que se trata de un cargador de vehículos eléctricos que gestiona una cantidad significativa de energía, existe un posible impacto en la seguridad (S:P). El ataque puede automatizarse (AU:Y).

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:H/S:P/AU:Y CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:H/S:P/AU:Y

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Alto
Safety (S): Present
Automatable (AU): Si

Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA

Referencias a soluciones, herramientas e información