Kritische Sicherheitslücke in RaspberryMatic

01.04.2022
1.834

Durch eine Sicherheitslücke in RasberryMatic können Angreifer das System von außen übernehmen. Ein Update steht bereits zur Verfügung und sollte daher umgehend eingespielt werden.

Die Sicherheitslücke mit der Bezeichnung CVE-2022-24796 (CVSS 10.0, Risiko kritisch) erlaubt es, über die Upload-Möglichkeit der Weboberfläche (WebUI) beliebige Befehle einzuschleusen. Da an dieser Stelle keine ausreichende Filterung von Benutzereingaben erfolgt, werden die Daten an die Shell im root-Kontext durchgereicht und können dort mit vollen Rechten ausgeführt werden. Für einen Angriff reicht wohl eine einfache HTTP-Anfrage aus.

Das jüngst veröffentlichte Update von RaspberryMatic schließt diese Lücke und sollte daher schnellstmöglich eingespielt werden.

Bitte beachten:

An dieser Stelle sei nochmals ausdrücklich erwähnt, das man seine HomeMatic-Zentrale niemals(!) via Port-Forwarding über das Internet zugänglich machen sollte.

Kommentieren

- Code scannen, um zur Orginalseite zu gelangen -