Name: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)

【Sikkerhedsadvarsel】Sungrow WiNet-S – Ukorrekt Firmware Integritetskontrolsårbarhed (CVE-2024-50696)

Udgivelsesdato: 20241230

Produkt:Sungrow WiNet-SCVE-ID: CVE-2024-50696
Alvorlighed:Høj

Dato: 30.12.2024

Beskrivelse

Sungrow WiNet-S firmware mangler korrekte integritetskontroller under opdateringsprocessen. Denne sårbarhed gør det muligt for en angriber at sende en specifik MQTT-besked for at installere en falsk firmwarefil, der er hostet på en server kontrolleret af angriberen. Dette kan føre til ondsindede ændringer, uautoriseret kontrol eller at berørte enheder bliver ubrugelige.

Berørte Versioner

Sårbar:WINET-SV200.001.00.P025 og tidligere versioner

Ikke Påvirket:WINET-SV200.001.00.P026 og senere

Sårbarhedsvurdering

CVE-2024-50696: 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

Scoringen er baseret på CVSS 3.1-standarden. Scoringkriterierne kan henvises til på

（https://www.first.org/cvss/calculator/3.1)

Afbøjning og Genopretning

Anbefalet handling:Kunder bør opgradere til firmwareversion WINET-SV200.001.00.P026 eller højere.

Patch udgivelse:Tilgængelig nu.

Midlertidig løsning:Begræns netværksadgang for at forhindre uautoriseret firmwareinstallationer, indtil en opgradering er afsluttet.

Udnyttelsesstatus

Ingen kendt udnyttelse i naturen.

BEMÆRKNINGER

Denne sårbarhed blev opdaget og rapporteret af virksomheden internt.

Erklæring

Alle softwareopdateringer, patches og dokumentation leveret af Sungrow Power Supply Co., Ltd. er Sungrows ejendomsret. Disse materialer må kun bruges til produktvedligeholdelse og sikkerhedsforbedringer. Enhver uautoriseret ændring, distribution, dekompilering eller omvendt ingeniørarbejde er strengt forbudt.

Sungrow giver ingen udtrykkelige eller underforståede garantier vedrørende de oplysninger, der er givet, herunder men ikke begrænset til garantier for salgbarhed, egnethed til et bestemt formål eller ikke-krænkelse. Sungrow skal ikke være ansvarlig for nogen direkte, indirekte, utilsigtede eller følgeskader, der opstår som følge af brugen af dette dokument eller tilhørende software.

Sungrow forbeholder sig retten til at opdatere eller ændre dette dokument til enhver tid uden forudgående meddelelse. Kunder er ansvarlige for at implementere sikkerhedsopdateringer rettidigt for at beskytte deres systemer.