Устройства Tinycontrol, такие как tcPDU и контроллеры локальной сети LK3.5, LK3.9 и LK4, имеют два отдельных механизма аутентификации: один предназначен исключительно для управления интерфейсом, а другой — для защиты всех остальных ресурсов сервера. Когда последний отключен (это настройка по умолчанию), злоумышленник, не прошедший проверку подлинности, в локальной сети может получить имена пользователей и закодированные пароли для портала управления интерфейсом, проверив HTTP-ответ сервера при посещении страницы входа, которая содержит файл JSON с этими данными. Учетные данные как обычных пользователей, так и администраторов доступны.
Эта проблема исправлена в версиях прошивки: 1.36 (для tcPDU), 1.67 (для LK3.5 — аппаратные версии: 3.5, 3.6, 3.7 и 3.8), 1.75 (для LK3.9 — аппаратная версия 3.9) и 1.38 (для LK4 — аппаратная версия 4.0).
Показать оригинальное описание (EN)
Tinycontrol devices such as tcPDU and LAN Controllers LK3.5, LK3.9 and LK4 have two separate authentication mechanisms - one solely for interface management and one for protecting all other server resources. When the latter is turned off (which is a default setting), an unauthenticated attacker on the local network can obtain usernames and encoded passwords for interface management portal by inspecting the HTTP response of the server when visiting the login page, which contains a JSON file with these details. Both normal and admin users credentials are exposed. This issue has been fixed in firmware versions: 1.36 (for tcPDU), 1.67 (for LK3.5 - hardware versions: 3.5, 3.6, 3.7 and 3.8), 1.75 (for LK3.9 - hardware version 3.9) and 1.38 (for LK4 - hardware version 4.0).
Характеристики атаки
Последствия
Строка CVSS v4.0