漏洞标题
N/A
漏洞描述信息
在生产应用程序中存在一个非功能完整的认证机制,允许攻击者绕过所有认证检查,如果选择LDAP认证。未授权的攻击者可以利用此漏洞登录到CypberPower PowerPanel企业并成为管理员,通过从隐藏的HTML组合框中选择LDAP认证。成功利用此漏洞还需要攻击者知道设备上至少一个用户名,但任何密码都可以成功地验证。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
认证机制不恰当
漏洞标题
N/A
漏洞描述信息
A non-feature complete authentication mechanism exists in the production application allowing an attacker to bypass all authentication checks if LDAP authentication is selected.An unauthenticated attacker can leverage this vulnerability to log in to the CypberPower PowerPanel Enterprise as an administrator by selecting LDAP authentication from a hidden HTML combo box. Successful exploitation of this vulnerability also requires the attacker to know at least one username on the device, but any password will authenticate successfully.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
不恰当实现的标准安全检查
漏洞标题
CyberPower PowerPanel Business Edition 安全漏洞
漏洞描述信息
Cyber Power Systems CyberPower PowerPanel Business Edition是美国Cyber Power Systems公司的一套电源管理软件。该软件可自动关闭物理和虚拟基础架构、并监控和管理CyberPower UPS系统和网络连接的PDU(电源分配单元)。 CyberPower PowerPanel Enterprise 存在安全漏洞,该漏洞源于允许攻击者在选择 LDAP 身份验证的情况下绕过所有身份验证检查。
CVSS信息
N/A
漏洞类别
其他