CVE-2023-29122

Incorrect file ownership of privileged service's libraries in Enel X JuiceBox

CVSS 6.7 MEDIUMEPSS 0.2%CWE-708

Em resumo

Uma falha no Enel X JuiceBox permite que contas de usuário não autorizadas acessem bibliotecas que deveriam ser restritas a um serviço privilegiado. Isso pode levar à modificação não autorizada ou mau uso de componentes críticos do serviço.

Detalhe técnico

A vulnerabilidade CWE-708 (Atribuição Incorreta de Propriedade) afeta as bibliotecas de serviço do Enel X JuiceBox, onde a propriedade dos arquivos é configurada incorretamente sob certas condições, permitindo que contas não privilegiadas acessem arquivos de serviço sensíveis. A exploração requer acesso local e conhecimento dos caminhos das bibliotecas vulneráveis; o impacto inclui potencial escalação de privilégio ou comprometimento do serviço através de manipulação de bibliotecas.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Under certain conditions, access to service libraries is granted to account they should not have access to.

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

Enel X · JuiceBox Pro 3.0 22kW Cellular

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://support-emobility.enelx.com/content/dam/enelxmobility/italia/documenti/manuali-schede-tecniche/Waybox-3-Security-Bulletin-06-2024-V1.pdf