Name: 【Security Advisory】Sungrow WiNet-S – Hardcoded WebUI Password Vulnerability (CVE-2024-50690)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow WiNet-S – Hardcoded WebUI Password Vulnerability (CVE-2024-50690)

【Sikkerhedsrådgivning】Sungrow WiNet-S – Hårdkodet WebUI Adgangskode Sårbarhed (CVE-2024-50690)

Udgivelsesdato: 20241230

Produkt:Sungrow WiNet-SCVE-ID: CVE-2024-50690
Alvorlighed:Middel

Dato: 30.12.2024

Beskrivelse

Sungrow WiNet-S WebUI indeholder en hardcodet adgangskode, der gør det muligt at dekryptere firmware-opdateringsfiler. Angribere, der får adgang til denne adgangskode, kunne dekryptere og inspicere firmware-opdateringer, potentielt opdage sårbarheder eller ændre firmware før implementering.

Berørte Versioner

Sårbar: WINET-SV200.001.00.P027 og tidligere versioner

Ikke Påvirket:WINET-SV200.001.00.P028 og senere

Sårbarhedsvurdering

CVE-2024-50690：6.5 (AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N）

Scoringen er baseret på CVSS 3.1-standarden. Scoringkriterierne kan henvises til på

（https://www.first.org/cvss/calculator/3.1)

Afbøjning og Genopretning

Anbefalet handling:Kunder bør opgradere til firmwareversion WINET-SV200.001.00.P028 eller højere.

Patch udgivelse:Tilgængelig nu.

Midlertidig løsning: Begræns WebUI-adgang til betroede IP'er, indtil en opgradering er fuldført.

Udnyttelsesstatus

Ingen kendt udnyttelse i naturen.

BEMÆRKNINGER

Denne sårbarhed blev opdaget og rapporteret af Forescout Technologies.

Erklæring

Alle softwareopdateringer, patches og dokumentation leveret af Sungrow Power Supply Co., Ltd. er Sungrows ejendomsret. Disse materialer må kun bruges til produktvedligeholdelse og sikkerhedsforbedringer. Enhver uautoriseret ændring, distribution, dekompilering eller omvendt ingeniørarbejde er strengt forbudt.

Sungrow giver ingen udtrykkelige eller underforståede garantier vedrørende de oplysninger, der er givet, herunder men ikke begrænset til garantier for salgbarhed, egnethed til et bestemt formål eller ikke-krænkelse. Sungrow skal ikke være ansvarlig for nogen direkte, indirekte, utilsigtede eller følgeskader, der opstår som følge af brugen af dette dokument eller tilhørende software.

Sungrow forbeholder sig retten til at opdatere eller ændre dette dokument til enhver tid uden forudgående meddelelse. Kunder er ansvarlige for at implementere sikkerhedsopdateringer rettidigt for at beskytte deres systemer.