Viessmann Vitogate 是 Viessmann 公司的一个智能化控制系统。

漏洞详情
Vitogate 300 2.1.3.0版本的 /*/vitogate.cgi 存在远程代码执行漏洞(CVE-2023-45852)，该漏洞允许未经身份验证的攻击者绕过身份验证，通过 POST 方法中的 ipaddr 参数JSON数据中的shell元字符实现绕过身份验证并执行任意命令。

影响范围
vitogate_300 的 2.1.3.0 及之前的版本

漏洞复现



修复建议
请关注厂商主页，更新修复补丁。

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://connectivity.viessmann.com/gb/mp-fp/vitogate/vitogate-300-bn-mb.html 
https://github.com/Push3AX/vul/blob/main/viessmann/Vitogate300_RCE.md