Name: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)

【Advertencia de Seguridad】Sungrow WiNet-S – Vulnerabilidad de Comprobación Inadecuada de la Integridad del Firmware (CVE-2024-50696)

Fecha de Publicación: 30 de diciembre de 2024

Producto: Sungrow WiNet-S
ID de CVE:CVE-2024-50696Gravedad:Alto

Fecha: 20241230

Descripción

El firmware Sungrow WiNet-S carece de verificaciones de integridad adecuadas durante el proceso de actualización. Esta vulnerabilidad permite a un atacante enviar un mensaje MQTT específico para instalar un archivo de firmware falso alojado en un servidor controlado por el atacante. Esto podría resultar en modificaciones maliciosas, control no autorizado o bloqueo de los dispositivos afectados.

Versiones Afectadas

Vulnerable: WINET-SV200.001.00.P025 y versiones anteriores

No Afectado:WINET-SV200.001.00.P026 y posterior

Calificación de Vulnerabilidad

CVE-2024-50696: 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

La puntuación se basa en el estándar CVSS 3.1. Los criterios de puntuación se pueden consultar en

（https://www.first.org/cvss/calculator/3.1)

Mitigación y remediación

Acción Recomendada:Los clientes deben actualizar a la versión de firmwareWINET-SV200.001.00.P026 o superior.

Lanzamiento de Parche: Disponible ahora.

Solución temporal:Restringir el acceso a la red para evitar instalaciones no autorizadas de firmware hasta que se complete una actualización.

Estado de Explotación

No se conoce explotación en la naturaleza.

Agradecimientos

Esta vulnerabilidad fue descubierta y reportada internamente por la empresa.

Declaración

Todas las actualizaciones de software, parches y documentación proporcionados por Sungrow Power Supply Co., Ltd. son trabajo propietario de Sungrow. Estos materiales solo pueden usarse para el mantenimiento del producto y mejoras de seguridad. Cualquier modificación no autorizada, distribución, descompilación o ingeniería inversa está estrictamente prohibida.

Sungrow no hace garantías expresas o implícitas con respecto a la información proporcionada, incluyendo pero no limitándose a garantías de comerciabilidad, idoneidad para un propósito particular o no infracción. Sungrow no será responsable por ningún daño directo, indirecto, incidental o consecuente que surja del uso de este documento o software asociado.

Sungrow se reserva el derecho de actualizar o modificar este documento en cualquier momento sin previo aviso. Los clientes son responsables de implementar actualizaciones de seguridad de manera oportuna para proteger sus sistemas.

Política de Privacidad Descargo de Responsabilidad Política de Cookies