Name: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)

【Avviso di sicurezza】Sungrow WiNet-S – Vulnerabilità di controllo dell'integrità del firmware improprio (CVE-2024-50696)

Data di Pubblicazione: 20241230

Prodotto: Sungrow WiNet-S
ID CVE:CVE-2024-50696
Gravità:Alto

Data:20241230

Descrizione

Il firmware Sungrow WiNet-S manca di controlli di integrità adeguati durante il processo di aggiornamento. Questa vulnerabilità consente a un attaccante di inviare un messaggio MQTT specifico per installare un file firmware falso ospitato su un server controllato dall'attaccante. Ciò potrebbe risultare in modifiche dannose, controllo non autorizzato o blocco dei dispositivi interessati.

Versioni interessate

Vulnerabile: WINET-SV200.001.00.P025 e versioni precedenti

Non interessato:WINET-SV200.001.00.P026 e versioni successive

Valutazione della Vulnerabilità

CVE-2024-50696：8.1（AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H）

Il punteggio si basa sullo standard CVSS 3.1. I criteri di punteggio possono essere consultati su

（https://www.first.org/cvss/calculator/3.1）

Mitigazione e Bonifica

Azione Raccomandata:I clienti dovrebbero aggiornare alla versione firmwareWINET-SV200.001.00.P026 o superiore.

Rilascio di Patch: Disponibile ora.

Riparazione Temporanea:Restringere l'accesso alla rete per prevenire installazioni di firmware non autorizzate fino al completamento di un aggiornamento.

Stato di Sfruttamento

Nessuno sfruttamento noto in natura.

Riconoscimenti

Questa vulnerabilità è stata scoperta e segnalata internamente dall'azienda.

Dichiarazione

Tutti gli aggiornamenti software, le patch e la documentazione forniti da Sungrow Power Supply Co., Ltd. sono opere proprietarie di Sungrow. Questi materiali possono essere utilizzati solo per la manutenzione del prodotto e i miglioramenti della sicurezza. Qualsiasi modifica non autorizzata, distribuzione, decompilazione o ingegneria inversa è severamente vietata.

Sungrow non fornisce garanzie espresse o implicite riguardo alle informazioni fornite, incluse ma non limitate a garanzie di commerciabilità, idoneità per uno scopo particolare o non violazione. Sungrow non sarà responsabile per alcun danno diretto, indiretto, incidentale o consequenziale derivante dall'uso di questo documento o del software associato.

Sungrow si riserva il diritto di aggiornare o modificare questo documento in qualsiasi momento senza preavviso. I clienti sono responsabili dell'implementazione tempestiva degli aggiornamenti di sicurezza per proteggere i propri sistemi.