Inyección de comandos en Altenergy Power System Control Software de APsystems
Altenergy Power Control Software C1.2.5.
Se ha detectado una vulnerabilidad de severidad crítica en Altenergy Power System Control Software, software de control de microinversores de APsystems, cuya explotación podría permitir a un atacante realizar una escalada de privilegios. Adicionalmente, se tiene constancia de la divulgación de una PoC (Proof of Concept) que permitiría la explotación de esta vulnerabilidad.
Por el momento, no hay propuesta de solución.
Se recomienda restringir el acceso de la interfaz a redes y equipos confiables, evitando la exposición a Internet.
Existe una vulnerabilidad en AlAltenergy Power System Control Software C1.2.5 que posibilita la inyección de comandos del sistema operativo vía shell en el parámetro de zona horaria index.php/management/set_timezone, debido a set_timezone en models/management_model.php. Un atacante remoto podría ejecutar comandos arbitrarios para obtener privilegios del servidor. Se ha asignado el identificador CVE-2023-28343 para esta vulnerabilidad.