Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2018-00617

Опубликовано: 21 фев. 2018
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость метода User.setLanguage микропрограммного обеспечения центрального контроллера системы управления производственными и жилыми помещениями HomeMatic Central Control Unit 2 связана с недостатками механизмов безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, записывать произвольные файлы и выполнить произвольный код на устройстве с использованием веб-интерфейса

Вендор

eQ-3 AG

Наименование ПО

HomeMatic Central Control Unit 2

Версия ПО

до 2.29.22 включительно (HomeMatic Central Control Unit 2)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Ограничение использования программного средства до выпуска обновления, устраняющего уязвимость

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.12405
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2018-7300

CVSS3: 9.8
nvd
почти 8 лет назад

Directory Traversal / Arbitrary File Write / Remote Code Execution in the User.setLanguage method in eQ-3 AG Homematic CCU2 2.29.2 and earlier allows remote attackers to write arbitrary files to the device's filesystem. This vulnerability can be exploited by unauthenticated attackers with access to the web interface.

github логотип

GHSA-64v8-x795-vgp3

CVSS3: 9.8
github
больше 3 лет назад

Directory Traversal / Arbitrary File Write / Remote Code Execution in the User.setLanguage method in eQ-3 AG Homematic CCU2 2.29.2 and earlier allows remote attackers to write arbitrary files to the device's filesystem. This vulnerability can be exploited by unauthenticated attackers with access to the web interface.

EPSS

Процентиль: 94%
0.12405
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2