CVE-2022-45291 in Personal Weather Station Dashboard
Résumé
par VulDB • 27/05/2026
Le tableau de bord PWS Personal Weather Station Dashboard (PWS_Dashboard) LTS Décembre 2020 (2012_lts) permet une exécution de code à distance (RCE) en injectant du code PHP dans le fichier settings.php. Les attaquants peuvent exploiter les points de terminaison PWS_printfile.php, PWS_frame_text.php, PWS_listfile.php, PWS_winter.php et PWS_easyweathersetup.php. Un facteur contributif est la présence d'un mot de passe de connexion codé en dur pour le compte « support », qui n'est pas documenté. (Il ne s'agit pas du même mot de passe que celui de configuration documenté, qui est 12345.) Le problème a été corrigé à la fin de l'année 2022.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.