PowerMaster+ versteckter Systemaccount

Produktbeschreibung (englisch)

Von der Webseite:
PowerMaster Management Software is designed for server and business solutions. It is ideal for IT professionals to monitor and manage the power status. It provides elegant, unattended shutdown of network computers and virtual machines connected to a battery backup during a power event. Power alert notifications can be sent via email, text, or instant message. The software is also compatible with SNMP Cards.

This software allows users remote access (from any network PC with a web browser) to critical power information, including battery condition, load levels, and run-time information. It also includes OS shutdown, event logging, internal reports and analysis, remote management, and more.

Details

PowerMaster+ beinhaltet eine Spring Boot-Anwendung, die auf TCP-Port 3052 erreichbar ist. Die Applikation beinhaltet einen versteckten Administrator-Account.

Benutzername: encryption_key (verschlüsselt: 385761CE9156A93756FC85BC2AE0D6E8)
Passwort: powermaster.encryption.keyODM (verschlüsselt: DF68DF70AD60172EC9A021DD841477FA152A6F2C3EF4432DC250ABB802C3070F)

Die PowerMaster+-Oberfläche bietet eine Import-/Exportfunktion, die dazu verwendet werden kann um Code mit root- oder SYSTEM Rechten auszuführen.

Das versteckte Systemkonto ist auch in der PowerMaster+ Management-Anwendung vorhanden. Es verfügt jedoch über keine zugewiesenen Berechtigungen. Bei der Authentifizierung mit diesen Anmeldedaten wird zwar ein JWT-Token ausgegeben, dieses kann jedoch nicht für den Zugriff auf die REST-API verwendet werden.

Workarounds

Keine

Coordinated Disclosure Zeitverlauf

05/05/2025 Identifikation der Schwachstelle
20/08/2025 Bemerkt das die Schwachstelle in der aktuellen PowerMaster Version (1.2.3) behoben, jedoch kein Advisory veröffentlicht wurde
14/09/2025 Veröffentlichung des Advisories

Links und Referenzen