【Sikkerhedsadvarsel】Sungrow WiNet-S – Hårdkoderede Legitimationsoplysninger Sårbarhed (CVE-2024-50692)
Udgivelsesdato: 20241230
Produkt:Sungrow WiNet-SCVE-ID: CVE-2024-50692
Alvorlighed:Høj
Dato: 30.12.2024
Beskrivelse
WiNet-S-modulens firmware indeholder hardkodet MQTT-legitimationsoplysninger. Denne sårbarhed kan tillade en angriber at sende vilkårlige kommandoer til en inverter, hvilket fører til uautoriseret kontrol af Sungrows energienheder.
Berørte Versioner
Sårbar: WINET-SV200.001.00.P027 og tidligere versioner
Ikke Påvirket:WINET-SV200.001.00.P028 og senere
Sårbarhedsvurdering
CVE-2024-50692: 8.1 (AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:H)
Scoringen er baseret på CVSS 3.1-standarden. Scoringkriterierne kan henvises til på
Afbøjning og Genopretning
Anbefalet handling:Kunder bør opgradere til firmwareversion WINET-SV200.001.00.P028 eller højere.
Patch udgivelse:Tilgængelig nu.
Midlertidig løsning:Begræns netværksadgang til MQTT-porte, indtil en opgradering er fuldført.
Udnyttelsesstatus
Ingen kendt udnyttelse i naturen.
BEMÆRKNINGER
Denne sårbarhed blev opdaget og rapporteret af Forescout Technologies.
Erklæring
Alle softwareopdateringer, patches og dokumentation leveret af Sungrow Power Supply Co., Ltd. er Sungrows ejendomsret. Disse materialer må kun bruges til produktvedligeholdelse og sikkerhedsforbedringer. Enhver uautoriseret ændring, distribution, dekompilering eller omvendt ingeniørarbejde er strengt forbudt.
Sungrow giver ingen udtrykkelige eller underforståede garantier vedrørende de oplysninger, der er givet, herunder men ikke begrænset til garantier for salgbarhed, egnethed til et bestemt formål eller ikke-krænkelse. Sungrow skal ikke være ansvarlig for nogen direkte, indirekte, utilsigtede eller følgeskader, der opstår som følge af brugen af dette dokument eller tilhørende software.
Sungrow forbeholder sig retten til at opdatere eller ændre dette dokument til enhver tid uden forudgående meddelelse. Kunder er ansvarlige for at implementere sikkerhedsopdateringer rettidigt for at beskytte deres systemer.