Критические уязвимости в станции зарядки электромобилей CirCarLife

В станции зарядки электромобилей CirCarLife производства компании Circontrol обнаружены две критические уязвимости, которые могут быть использованы удаленно. Они затрагивают все версии CirCarLife до 4.3.1.

Первая уязвимость, CVE-2018-17918, позволяет обойти аутентификацию на устройстве, введя URL-адрес определенной страницы. Вторая уязвимость, CVE-2018-17922, связана с небезопасным хранением учетных данных протокола проверки подлинности (PAP) устройства в открытом виде в лог-файле, доступном без аутентификации. Злоумышленник может использовать эту проблему для обхода механизма аутентификации и выполнения несанкционированных действий, а также получения важной информации.

По шкале CVSS v.3 обе уязвимости получили наивысшую оценку — 10 баллов.

Производитель уже устранил указанные проблемы и выпустил соответствующее обновление.

Источник: ICS-CERT