CWE-89: NEUTRALIZACIÓN INADECUADA DE ELEMENTOS ESPECIALES UTILIZADOS EN UN COMANDO SQL ('INYECCIÓN SQL')
Un atacante con ciertos permisos MQTT puede crear mensajes maliciosos para todos los dispositivos Power Panel. Esto podría provocar que un atacante inyecte sintaxis SQL, escriba archivos arbitrarios en el sistema y ejecute código remoto.
La explotación exitosa de estas vulnerabilidades podría hacer que un atacante omita la autenticación y obtenga privilegios de administrador, falsificar tokens JWT para evitar la autenticación, escribir archivos arbitrarios en el servidor y lograr la ejecución del código, obtener acceso a servicios con los privilegios de una aplicación PowerPanel, obtener acceso al servidor de pruebas o producción, aprender contraseñas y autenticar con privilegios de usuario o administrador, inyectar sintaxis SQL, escribir archivos arbitrarios en el sistema, ejecutar código remoto, hacerse pasar por cualquier cliente en el sistema y enviar datos maliciosos, u obtener datos de todo el sistema después de obtener acceso a cualquier dispositivo.
CVE-2024-31856
Ciberenergía
PowerPanel
8.8
Team82 se compromete a informar de manera privada las vulnerabilidades a los proveedores afectados de manera coordinada y oportuna para garantizar la seguridad del ecosistema de ciberseguridad en todo el mundo. Para interactuar con el proveedor y la comunidad de investigación, Team82 lo invita a descargar y compartir nuestra Política de Divulgación Coordinada. Team82 cumplirá con este proceso de informe y divulgación cuando descubramos vulnerabilidades en productos y servicios.
Team82 también ha puesto a disposición su Clave pública de PGP para que el proveedor y la comunidad de investigación intercambien de manera segura la información de vulnerabilidad e investigación con nosotros.
