Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00908

Опубликовано: 25 янв. 2024
Источник: fstec
CVSS3: 10
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость интерфейса API микропрограммного обеспечения систем теплового сканирования FeverWarn ESP32, FeverWarn RaspberryPi и системы централизованного хранения и управления данными FeverWarn DataHub RaspberryPi связана с отсутствием процедуры аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

MachineSense LLC.

Наименование ПО

FeverWarn ESP32
FeverWarn RaspberryPi
FeverWarn DataHub RaspberryPi

Версия ПО

- (FeverWarn ESP32)
- (FeverWarn RaspberryPi)
- (FeverWarn DataHub RaspberryPi)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 55%
0.0032
Низкий

10 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-49617

CVSS3: 10
nvd
около 2 лет назад

The MachineSense application programmable interface (API) is improperly protected and can be accessed without authentication. A remote attacker could retrieve and modify sensitive information without any authentication.

github логотип

GHSA-57qm-6jgh-x438

CVSS3: 10
github
около 2 лет назад

The MachineSense application programmable interface (API) is improperly protected and can be accessed without authentication. A remote attacker could retrieve and modify sensitive information without any authentication.

EPSS

Процентиль: 55%
0.0032
Низкий

10 Critical

CVSS3

9.4 Critical

CVSS2