TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-ECOA BAS controller

ECOA BAS controller - Missing Encryption of Sensitive Data

TVN ID	TVN-202109018
CVE ID	CVE-2021-41302
CVSS	7.3 (High) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
影響產品	ECOA ECS Router Controller - ECS (FLASH) ECOA RiskBuster Terminator - E6L45 ECOA RiskBuster System - RB 3.0.0 ECOA RiskBuster System - TRANE 1.0 ECOA Graphic Control Software ECOA SmartHome II - E9246 ECOA RiskTerminator
問題描述	ECOA BAS控制器以明文儲存使用者密碼於資料庫中，遠端攻擊者可查詢一般使用者密碼資訊，並取得相關權限。
解決方法	參考ECOA建議進行版本更新
漏洞通報者	Gjoko Krstic(Zero Science Lab)
公開日期	2021-09-30

ECOA BAS controller - Missing Encryption of Sensitive Data