Версии прошивки SODOLA SL902-SWTGW124AS до 200.1.20 передают учетные данные аутентификации по незашифрованному протоколу HTTP, что позволяет злоумышленникам перехватывать учетные данные. Злоумышленник, способный наблюдать за сетевым трафиком между пользователем и устройством, может перехватить учетные данные и повторно использовать их для получения административного доступа к шлюзу.
Показать оригинальное описание (EN)
SODOLA SL902-SWTGW124AS firmware versions through 200.1.20 transmit authentication credentials over unencrypted HTTP, allowing attackers to capture credentials. An attacker positioned to observe network traffic between a user and the device can intercept credentials and reuse them to gain administrative access to the gateway.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0