【Bezpečnostní upozornění】Sungrow WiNet-S – Zranitelnost pevně zakódovaných přihlašovacích údajů (CVE-2024-50692)

Datum publikace: 20241230

Produkt:Sungrow WiNet-SCVE identifikátor: CVE-2024-50692
Závažnost:Vysoká

Datum:30.12.2024

Popis

Firmware modulu WiNet-S obsahuje pevně zakódované přihlašovací údaje MQTT. Tato zranitelnost může umožnit útočníkovi odesílat libovolné příkazy do měniče, což vede k neoprávněnému ovládání zařízení Sungrow.

Ovlivněné verze

Zranitelný: WINET-SV200.001.00.P027 a starší verze

Nepostiženo:WINET-SV200.001.00.P028 a pozdější

Hodnocení zranitelnosti

CVE-2024-50692：8.1（AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:H）

Hodnocení je založeno na standardu CVSS 3.1. Kritéria hodnocení lze najít na

（https://www.first.org/cvss/calculator/3.1）

Zmírnění a náprava

Doporučená akce:Zákazníci by měli aktualizovat na verzi firmwareWINET-SV200.001.00.P028 nebo vyšší..

Vydání opravy:Dostupné nyní.

Dočasné řešení: Omezte přístup k síti na porty MQTT, dokud nebude dokončena aktualizace.

Stav využití

V přírodě nejsou známé žádné exploity.

Poděkování

Tato zranitelnost byla objevena a nahlášenaTechnologie Forescout.

Prohlášení

Všechny aktualizace softwaru, záplaty a dokumentace poskytnuté společností Sungrow Power Supply Co., Ltd. jsou výhradním dílem společnosti Sungrow. Tyto materiály mohou být použity pouze pro údržbu produktu a zlepšení zabezpečení. Jakákoli neautorizovaná modifikace, distribuce, dekompilace nebo zpětné inženýrství je přísně zakázána.

Sungrow neposkytuje žádné výslovné nebo předpokládané záruky týkající se poskytnutých informací, včetně, ale nejen, záruk prodejnosti, vhodnosti pro konkrétní účel nebo neporušení práv. Sungrow nebude odpovědný za žádné přímé, nepřímé, náhodné nebo následné škody vzniklé použitím tohoto dokumentu nebo souvisejícího software.

Sungrow si vyhrazuje právo aktualizovat nebo upravovat tento dokument kdykoli bez předchozího upozornění. Zákazníci jsou zodpovědní za včasnou implementaci bezpečnostních aktualizací k ochraně svých systémů.