Ahmed Alroky i Superzerosec han reportat una vulnerabilitat de severitat crítica, l’explotació de la qual podria permetre a un atacant l’execució de codi de forma remota.[1]
Anàlisi
La vulnerabilitat de severitat critica associada al producte afectat és la següent:
- CVE-2023-28343: Injecció d’ordres del sistema operatiu(CWE-78):
La injecció d’ordres del sistema operatiu afecta el software Altenergy Power Control C1.2.5 a través de metacaracters de shell al paràmetre timezone d’index.php/management/set_timezone, a causa de set_timezone en models/management_model.php
Recomanacions
De moment, APSystems no ha proporcionat mesures de mitigació per a aquesta vulnerabilitat. CISA recomana als usuaris afectats contactar amb APSystems per sol·licitar informació addicional.
Referències
[1] APSystems Altenergy Power Control