【安全公告】阳光电源 WiNet-S——固件完整性检查不当漏洞(CVE-2024-50696)
发布日期:2024年12月30日
产品: Sungrow WiNet-S
CVE ID: CVE-2024-50696
严重程度: 高
日期: 20241230
描述
阳光电源 WiNet-S 固件在更新过程中缺乏适当的完整性检查。该漏洞允许攻击者发送特定的 MQTT 消息,从而安装托管在攻击者控制服务器上的伪造固件文件。这可能导致恶意篡改、未经授权的控制,或使受影响设备变砖。
受影响的版本
存在漏洞:WINET-SV200.001.00.P025 及更早版本
不受影响:WINET-SV200.001.00.P026及后续版本
漏洞等级
CVE-2024-50696:8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
评分基于 CVSS 3.1 标准。评分标准可参考
缓解与修复
建议措施:客户应将固件版本升级至WINET-SV200.001.00.P026 或更高版本.
补丁发布:现已上市。
临时修复:限制网络访问,以防止在升级完成之前安装未经授权的固件。
开发状态
未发现已知的野外利用。
致谢
该漏洞由公司内部发现并报告。
声明
阳光电源股份有限公司提供的所有软件更新、补丁和文档均为阳光电源的专有作品。这些资料仅可用于产品维护和安全改进。严禁任何未经授权的修改、分发、反编译或逆向工程。
Sungrow 对所提供信息不作任何明示或默示保证,包括但不限于对适销性、特定用途适用性或不侵权的保证。对于因使用本文件或相关软件而产生的任何直接、间接、附带或后果性损害,Sungrow 概不负责。
阳光电源保留在不事先通知的情况下随时更新或修改本文档的权利。客户有责任及时实施安全更新,以保护其系统。