CVE-2019-14475

Опубликовано: 05 авг. 2019

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

eQ-3 Homematic CCU2 2.47.15 and prior and CCU3 3.47.15 and prior use session IDs for authentication but lack authorization checks. An attacker can obtain a session ID from CVE-2019-9583, resulting in the ability to read the service messages, clear the system protocol, create a new user in the system, or modify/delete internal programs.

Ссылки

https://psytester.github.io/CVE-2019-14475
Exploit
Third Party Advisory
https://psytester.github.io/CVE-2019-14475
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:eq-3:ccu2_firmware:*:*:*:*:*:*:*:*

Версия до 2.47.15 (включая)

cpe:2.3:h:eq-3:ccu2:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:eq-3:ccu3_firmware:*:*:*:*:*:*:*:*

Версия до 3.47.15 (включая)

cpe:2.3:h:eq-3:ccu3:-:*:*:*:*:*:*:*

EPSS

Процентиль: 65%

0.00488

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-862

Связанные уязвимости

GHSA-943c-f2xw-gmr9