【Aviso de Segurança】Sungrow WiNet-S – Vulnerabilidade de Senha WebUI Codificada (CVE-2024-50690)
Data de Publicação: 20241230
Produto:Sungrow WiNet-S
ID do CVE: CVE-2024-50690
Severidade:Médio
Data: 30 de dezembro de 2024
Inversor Fotovoltaico
Sistema de Armazenamento de Energia
Produtos de Energia Inteligente
Descrição
A WebUI Sungrow WiNet-S contém uma senha embutida que permite a descriptografia de arquivos de atualização de firmware. Ataques que obtenham acesso a esta senha poderiam descriptografar e inspecionar atualizações de firmware, potencialmente descobrindo vulnerabilidades ou modificando o firmware antes da implantação.
Versões Afetadas
Vulnerável:WINET-SV200.001.00.P027 e versões anteriores
Não Afetado:WINET-SV200.001.00.P028 e posteriores
Classificação de Vulnerabilidade
CVE-2024-50690:6.5 (AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N)
A pontuação é baseada no padrão CVSS 3.1. Os critérios de pontuação podem ser consultados em
Mitigação e Remediação
Ação Recomendada:Os clientes devem atualizar para a versão do firmware WINET-SV200.001.00.P028 ou superior.
Liberação de Correção: Disponível agora.
Correção Temporária:Restringir o acesso à WebUI a IPs confiáveis até que uma atualização seja concluída.
Status de Exploração
Nenhuma exploração conhecida na natureza.
Agradecimentos
Esta vulnerabilidade foi descoberta e relatada por Forescout Technologies.
Declaração
Todas as atualizações de software, patches e documentação fornecidos pela Sungrow Power Supply Co., Ltd. são trabalhos proprietários da Sungrow. Esses materiais só podem ser usados para manutenção do produto e melhorias de segurança. Qualquer modificação não autorizada, distribuição, descompilação ou engenharia reversa é estritamente proibida.
A Sungrow não oferece garantias expressas ou implícitas em relação às informações fornecidas, incluindo, mas não se limitando a, garantias de comercialização, adequação a um propósito específico ou não violação. A Sungrow não será responsável por quaisquer danos diretos, indiretos, incidentais ou consequentes decorrentes do uso deste documento ou software associado.
A Sungrow reserva-se o direito de atualizar ou modificar este documento a qualquer momento, sem aviso prévio. Os clientes são responsáveis por implementar atualizações de segurança de maneira oportuna para proteger seus sistemas.