APC рассказала о трёх уязвимостях в ПО Easy UPS Online Monitoring, позволяющих запускать произвольный код
Компания APC рассказала об уязвимостях в программном обеспечении Easy UPS Online Monitoring. С помощью уязвимостей злоумышленники могут выполнять удалённо произвольный код без авторизации на устройствах, что позволяет хакерам влиять на работу устройств или полностью отключать их. Две уязвимости имеют одну из самых высоких оценок (9,8 из 10) по CVSS v3.1.
Производитель ИБП в апреле 2023 года опубликовал уведомление о безопасности, представив три уязвимости, влияющих на его продукты:
CVE-2023–29 411 даёт злоумышленнику возможность без аутентификации изменять учётные данные администратора и выполнять произвольный код в интерфейсе Java RMI. Уязвимость имеет оценку 9,8 из 10 по CVSS v3.1;
CVE-2023–29 412 позволяет взломщику запускать произвольный код при манипулировании внутренними методами через интерфейс Java RMI. Уязвимость имеет оценку 9,8 из 10 по CVSS v3.1;
CVE-2023–29 413 способна привести к инициированию неавторизованными злоумышленниками DoS‑атак. Уязвимость имеет оценку 7,5 из 10 по CVSS v3.1.
Озвученные уязвимости влияют на ПО APC Easy UPS Online Monitoring 5-GA-01–22 320 и Schneider Electric Easy UPS Online Monitoring версии 5-GA-01–22 320, а также более ранние версии этих программных продуктов для ОС Windows (включая 10 и 11) и ОС Windows Server 2016–2022.
Пользователям уязвимого ПО компания рекомендует обновиться до V2.5-GS-01–23 036 или более поздних версий (для ПО APC, для ПО Schneider Electric) Также APC рекомендует обновить до последней версии программный пакет PowerChute Serial Shutdown.
