Plataforma
linux
Componente
voltronic-power-snmp-web-pro
Corrigido em
1.1.1
Uma vulnerabilidade de Path Traversal foi descoberta no Voltronic Power SNMP Web Pro, afetando a versão 1.1. Esta falha permite que atacantes não autenticados acessem arquivos sensíveis no sistema, como hashes de senhas, comprometendo potencialmente a segurança do dispositivo. A atualização para a versão 7.6.47 resolve a vulnerabilidade. A vulnerabilidade foi divulgada em 13 de março de 2026.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado leia arquivos arbitrários no sistema de arquivos do dispositivo Voltronic Power SNMP Web Pro. Ao acessar arquivos como hashes de senhas, um atacante pode realizar ataques de força bruta offline para obter acesso de nível root ao dispositivo. Isso pode levar à completa comprometimento do sistema, permitindo que o atacante modifique configurações, interrompa serviços ou use o dispositivo como ponto de apoio para ataques a outros sistemas na rede. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o risco, tornando-a um alvo atraente para atacantes automatizados.
A vulnerabilidade foi divulgada publicamente em 13 de março de 2026. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A pontuação CVSS de 7.5 (HIGH) indica um risco significativo, especialmente devido à falta de autenticação necessária para a exploração. A facilidade de exploração e o potencial de comprometimento total do sistema tornam esta vulnerabilidade uma prioridade para correção.
Organizations utilizing Voltronic Power SNMP Web Pro version 1.1 for network management are at risk. This includes deployments in industrial control systems (ICS) and building automation systems where SNMP is commonly used for device monitoring and configuration. Shared hosting environments that utilize this software are particularly vulnerable due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u snmpwebpro | grep -i "upload.cgi"• linux / server:
lsof | grep upload.cgi | grep /tmp• generic web:
curl -I 'http://<target_ip>/upload.cgi?params=../../../../etc/passwd' # Check for 200 OK response indicating file accessdisclosure
Status do Exploit
EPSS
0.04% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para a versão 7.6.47 do Voltronic Power SNMP Web Pro. Se a atualização imediata não for possível, considere implementar regras de Web Application Firewall (WAF) para bloquear solicitações com sequências de traversal de diretório no parâmetro 'params' do endpoint 'upload.cgi'. Monitore os logs do sistema em busca de tentativas de acesso a arquivos inesperados ou padrões de requisição suspeitos. Implementar o princípio do menor privilégio para contas de usuário pode limitar o impacto caso o sistema seja comprometido.
Atualize o dispositivo para uma versão corrigida fornecida pela Voltronic Power. Verifique o site oficial da Voltronic Power ou entre em contato com o suporte técnico deles para obter informações sobre as atualizações disponíveis. Como medida temporária, desative a funcionalidade de upload de arquivos até que uma atualização possa ser aplicada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22199 is a vulnerability allowing unauthenticated attackers to read arbitrary files on Voltronic Power SNMP Web Pro version 1.1, potentially exposing sensitive data like password hashes.
You are affected if you are using Voltronic Power SNMP Web Pro version 1.1. Upgrade to version 7.6.47 or later to mitigate the risk.
Upgrade to version 7.6.47 or later. As a temporary workaround, restrict access to the upload.cgi endpoint using a firewall or proxy.
While no active exploitation has been confirmed, the ease of exploitation suggests it is likely to be targeted.
Refer to the Voltronic Power website for the official advisory and further details regarding this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.