【Aviso de Seguridad】Sungrow WiNet-S – Vulnerabilidad de Contraseña WebUI Codificada en Duro (CVE-2024-50690)
Fecha de Publicación: 30 de diciembre de 2024
Producto: Sungrow WiNet-S
ID de CVE:CVE-2024-50690Gravedad:Medio
Fecha: 20241230
Inversor Fotovoltaico
Sistema de almacenamiento de energía
Productos Inteligentes de Energía
Descripción
El Sungrow WiNet-S WebUI contiene una contraseña codificada que permite descifrar los archivos de actualización de firmware. Los atacantes que obtengan acceso a esta contraseña podrían descifrar e inspeccionar las actualizaciones de firmware, potencialmente descubriendo vulnerabilidades o modificando el firmware antes de la implementación.
Versiones Afectadas
Vulnerable: WINET-SV200.001.00.P027 y versiones anteriores
No Afectado: WINET-SV200.001.00.P028 y posteriores
Calificación de Vulnerabilidad
CVE-2024-50690:6.5 (AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N)
La puntuación se basa en el estándar CVSS 3.1. Los criterios de puntuación se pueden consultar en
Mitigación y remediación
Acción Recomendada:Los clientes deben actualizar a la versión de firmwareWINET-SV200.001.00.P028 o superior.
Lanzamiento de Parche: Disponible ahora.
Solución temporal: Restringir el acceso de la WebUI a IPs confiables hasta que se complete una actualización.
Estado de Explotación
No se conoce explotación en la naturaleza.
Agradecimientos
Esta vulnerabilidad fue descubierta y reportada porForescout Technologies.
Declaración
Todas las actualizaciones de software, parches y documentación proporcionados por Sungrow Power Supply Co., Ltd. son trabajo propietario de Sungrow. Estos materiales solo pueden usarse para el mantenimiento del producto y mejoras de seguridad. Cualquier modificación no autorizada, distribución, descompilación o ingeniería inversa está estrictamente prohibida.
Sungrow no hace garantías expresas o implícitas con respecto a la información proporcionada, incluyendo pero no limitándose a garantías de comerciabilidad, idoneidad para un propósito particular o no infracción. Sungrow no será responsable por ningún daño directo, indirecto, incidental o consecuente que surja del uso de este documento o software asociado.
Sungrow se reserva el derecho de actualizar o modificar este documento en cualquier momento sin previo aviso. Los clientes son responsables de implementar actualizaciones de seguridad de manera oportuna para proteger sus sistemas.