Security Advisory
PowerMaster+ Hardcoded JWT Keys
Ein fest-eincodiertes JWT Secret erlaubt das Erstellen von eigenen Access Tokens, welche zur Ausführung von eigenem Code verwendet werden können
CVE: none
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Kritikalität: critical
Betroffene Versionen: 1.2.2
Behoben in: 1.2.3
Gefunden von: Hans-Martin Münch
Produktbeschreibung (englisch)
Von der Webseite:
PowerMaster Management Software is designed for server and business solutions. It is ideal for IT professionals to monitor and manage the power status. It provides elegant, unattended shutdown of network computers and virtual machines connected to a battery backup during a power event. Power alert notifications can be sent via email, text, or instant message. The software is also compatible with SNMP Cards.
This software allows users remote access (from any network PC with a web browser) to critical power information, including battery condition, load levels, and run-time information. It also includes OS shutdown, event logging, internal reports and analysis, remote management, and more.
Details
PowerMaster+ beinhaltet eine Spring Boot-Anwendung, die auf TCP-Port 3052 erreichbar ist und JSON Web Tokens (JWTs) für die Autorisierung verwendet. Diese Tokens werden mit fest codierten Secrets signiert, die von den Entwicklern definiert wurden. Die verschiedenen PowerMaster+-Implementierungen verwenden unterschiedliche Secrets:
Remote: power-@Jwt!&Secret^#remote
Local: power-@Jwt!&Secret^#local
Management: power-@Jwt!&Secret^#management
Die PowerMaster+ Oberfläche bietet eine Import-/Exportfunktion, die dazu verwendet werden kann um Code mit root- oder SYSTEM Rechten auszuführen.
Workarounds
Keine
Coordinated Disclosure Zeitverlauf
- 05/05/2025 Identifikation der Schwachstelle
- 20/08/2025 Bemerkt das die Schwachstelle in der aktuellen PowerMaster Version (1.2.3) behoben, jedoch kein Advisory veröffentlicht wurde
- 14/09/2025 Veröffentlichung des Advisories