CyberPower未授权访问和SQL注入漏洞

admin 2024年10月30日10:08:56评论31 views字数 565阅读1分53秒阅读模式
0x00 漏洞编号
  • CVE-2024-32735

  • CVE-2024-32737

  • CVE-2024-32738

  • CVE-2024-32739

0x01 危险等级
  • 高危
0x02 漏洞概述

CyberPower的产品组合涵盖从基础的电源保护到复杂的电源管理解决方案,确保在停电或电力波动时,用户的设备能够继续正常运行,避免数据丢失和设备损坏。

CyberPower未授权访问和SQL注入漏洞

0x03 漏洞详情
CVE-2024-32735
漏洞类型:未授权访问
影响:获取敏感信息
简述:CyberPower的/api/v1/devices接口存在未授权访问漏洞,未经身份验证的攻击者可以通过该漏洞获取服务器敏感信息
CVE-2024-32737、CVE-2024-32738、CVE-2024-32739
漏洞类型:SQL注入
影响:获取敏感信息
简述:CyberPower的/api/v1/confup和/api/v1/ndconfig接口存在SQL注入漏洞,未经身份验证的攻击者可以通过该漏洞获取数据库敏感信息。
0x04 影响版本
  • CyberPower < 2.8.3

0x05 POC状态

  • 已公开

0x06 修复建议

目前官方已发布漏洞修复版本,建议用户升级到安全版本
https://www.cyberpowersystems.com/

原文始发于微信公众号(浅安安全):漏洞预警 | CyberPower未授权访问和SQL注入漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月30日10:08:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CyberPower未授权访问和SQL注入漏洞https://cn-sec.com/archives/3332020.html

发表评论

匿名网友 填写信息