【Avis de sécurité】Sungrow WiNet-S – Vulnérabilité de vérification d'intégrité du firmware inappropriée (CVE-2024-50696)
Date de publication : 20241230
Produit : Sungrow WiNet-S
Identifiant CVE :CVE-2024-50696Gravité :Élevé
Date :30 décembre 2024
Onduleur photovoltaïque
Système de stockage d'énergie
Chargeur de véhicule électrique
Système PV Flottant
Produits d'Énergie Intelligente
Description
Le firmware Sungrow WiNet-S manque de contrôles d'intégrité appropriés pendant le processus de mise à jour. Cette vulnérabilité permet à un attaquant d'envoyer un message MQTT spécifique pour installer un fichier de firmware frauduleux hébergé sur un serveur contrôlé par l'attaquant. Cela pourrait entraîner des modifications malveillantes, un contrôle non autorisé ou la mise hors service des appareils affectés.
Versions Affectées
Vulnérable :WINET-SV200.001.00.P025 et versions antérieures
Non Affecté :WINET-SV200.001.00.P026 et versions ultérieures
Évaluation de la vulnérabilité
CVE-2024-50696 : 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
Le score est basé sur la norme CVSS 3.1. Les critères de notation peuvent être référencés sur
Atténuation et Remédiation
Action recommandée : Les clients doivent mettre à niveau vers la version du firmware WINET-SV200.001.00.P026 ou supérieur.
Publication de correctif : Disponible maintenant.
Correctif temporaire :Restreindre l'accès au réseau pour empêcher les installations de firmware non autorisées jusqu'à ce qu'une mise à niveau soit terminée.
Statut d'exploitation
Aucune exploitation connue dans la nature.
Remerciements
Cette vulnérabilité a été découverte et signalée en interne par l'entreprise.
Déclaration
Toutes les mises à jour logicielles, correctifs et documentation fournis par Sungrow Power Supply Co., Ltd. sont des œuvres propriétaires de Sungrow. Ces matériaux ne peuvent être utilisés que pour la maintenance du produit et les améliorations de sécurité. Toute modification, distribution, décompilation ou ingénierie inverse non autorisée est strictement interdite.
Sungrow ne fait aucune garantie expresse ou implicite concernant les informations fournies, y compris mais sans s'y limiter, les garanties de qualité marchande, d'adéquation à un usage particulier ou de non-contrefaçon. Sungrow ne sera pas responsable de tout dommage direct, indirect, accessoire ou consécutif découlant de l'utilisation de ce document ou du logiciel associé.
Sungrow se réserve le droit de mettre à jour ou de modifier ce document à tout moment sans préavis. Les clients sont responsables de la mise en œuvre des mises à jour de sécurité en temps opportun pour protéger leurs systèmes.