CWE-321: USO DE CLAVE CRIPTOGRÁFICA CODIFICADA
Los dispositivos que administra Power Panel utilizan certificados idénticos basados en una clave criptográfica codificada. Esto puede permitir que un atacante se haga pasar por cualquier cliente en el sistema y envíe datos maliciosos.
La explotación exitosa de estas vulnerabilidades podría hacer que un atacante omita la autenticación y obtenga privilegios de administrador, falsificar tokens JWT para evitar la autenticación, escribir archivos arbitrarios en el servidor y lograr la ejecución del código, obtener acceso a servicios con los privilegios de una aplicación PowerPanel, obtener acceso al servidor de pruebas o producción, aprender contraseñas y autenticar con privilegios de usuario o administrador, inyectar sintaxis SQL, escribir archivos arbitrarios en el sistema, ejecutar código remoto, hacerse pasar por cualquier cliente en el sistema y enviar datos maliciosos, u obtener datos de todo el sistema después de obtener acceso a cualquier dispositivo.
CVE-2024-31410
Ciberenergía
PowerPanel
6.5
Team82 se compromete a informar de manera privada las vulnerabilidades a los proveedores afectados de manera coordinada y oportuna para garantizar la seguridad del ecosistema de ciberseguridad en todo el mundo. Para interactuar con el proveedor y la comunidad de investigación, Team82 lo invita a descargar y compartir nuestra Política de Divulgación Coordinada. Team82 cumplirá con este proceso de informe y divulgación cuando descubramos vulnerabilidades en productos y servicios.
Team82 también ha puesto a disposición su Clave pública de PGP para que el proveedor y la comunidad de investigación intercambien de manera segura la información de vulnerabilidad e investigación con nosotros.
