ГлавнаяБаза уязвимостей БДУ → BDU:2022-07220
5.4средняя

BDU:2022-07220 (CVE-2022-29593)

Уязвимость реализации сценария relay_cgi.cgi микропрограммного обеспечения релейных плат Dingtian DT-R002, позволяющая нарушителю обойти ограничения безопасности и получить полный контроль над устройством
Опубликовано: 2022-12-12
Описание

Уязвимость реализации сценария relay_cgi.cgi микропрограммного обеспечения релейных плат Dingtian DT-R002 связана с обходом процедуры аутентификации с помощью захвата-воспроизведения (capture-replay) перехваченных параметров. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить полный контроль над устройством с помощью специально созданных HTTP-запросов

Затрагиваемое ПО и версии
Dingtian DT-R002 (3.1.276A)
Способ устранения

Организационные меры:
- использование HTTPS-протокола;
- реализация токенов авторизации для каждого запроса/транзакции;
- ограничение доступа к оборудованию из общедоступных сетей (Интернет);
- сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;
- доступ к системам контроля и оборудованию только допущенного персонал.

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
http://packetstormsecurity.com/files/167868/Dingtian-DT-R002-3.1.276A-Authentication-Bypass.htmlhttps://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/cve-2022-29593-authentication-bypass-by-capture-replay-dingtian-dt-r002/https://www.trustwave.com/en-us/resources/security-resources/security-advisories/https://nvd.nist.gov/vuln/detail/CVE-2022-29593https://github.com/SpiderLabs/advisories-poc/tree/master/CVE-2022-29593
Проверьте безопасность своего сайта и почты → Полная проверка домена