Foram encontradas diversas falhas no sistema mais propriamente designado por EVLink Parking systems, da Shneider Eletric.

O problema está no facto de haverem credenciais hard-coded, que pode ser explorado pelos atacantes para ganharem acesso ao sistema - CVE-2018-7800.

Existem também uma vulnerabilidade de injeção de código - CVE-2018-7801 e uma falha de SQL injection - CVE-2018-7802. A primeira pode ser explorada pelo atacante de forma a ganhar privilégios de administrador no sistema a partir da execução de código remota.

Sistemas afetados

v3.2.0-12_v1 e anteriores.

Solução

Fazer o patch do sistema aqui: https://www.schneider-electric.com/en/download/range/60850-EVlink%20Parking/?docTypeGroup=3541958-Software%2FFirmware&language=en_GB-English