Positive Technologies mutaxassislari Schneider Electric kompaniyasining EVLink Parking tizimida zaifliklarni aniqladilar.
Zaifliklar zaryadlash stansiyasini o’chirib qo’yish, ixtiyoriy buyruqlarni bajarish va veb-interfeysga kirish imkonini beradi.
Positive Technologies mutaxassislari Vladimir Kononovich va Vyacheslav Moskvin korporativ avtoparklar uchun Schneider Electric EVLink Parking zaryadlash stansiyalarida bir qator xavfli zaifliklarni aniqladilar. Ushbu zaifliklardan foydalanib, tajovuzkor qurilmani o’chirib qo’yishi, shu bilan transport vositasining zaryadlanishiga to’sqinlik qilishi, o’zboshimchalik bilan buyruqlarni bajarishi va veb-interfeysga to’liq imtiyozlar bilan kirish huquqini qo’lga kiritishi mumkin. Zaifliklar EVLink Parking 3.2.0-12_v1 va undan oldingi versiyalariga ta’sir qiladi.
CVE-2018-7800: O’zgartirib bo’lmaydigan hisob ma’lumotlari tajovuzkorga qurilmaga kirish imkonini beradi. Ushbu zaiflik CVSS v3 bo’yicha maksimal 10 balldan 9,8 ball oldi.
CVE-2018-7801: Maksimal imtiyozlar bilan masofadan kodni bajarishga imkon beradi. Ushbu zaiflik CVSS v3 bo’yicha maksimal 10 balldan 8,8 ballni tashkil etadi.
CVE-2018-7802: SQL in’ektsiyasi va to’liq imtiyozli veb-interfeysga kirish imkonini beradi. Ushbu zaiflik CVSS v3 uchun maksimal 10 balldan 6,4 ballni tashkil etadi.
Schneider Electric mutaxassislari zaryadlash stansiyalariga masofaviy kirishni cheklash uchun xavfsizlik devorlaridan foydalanishni tavsiya qiladilar. Shuningdek, zaifliklarni allaqachon tuzatadigan dasturiy ta’minot yangilanishi ham mavjud.
