【Poradnik bezpieczeństwa】Sungrow WiNet-S – Luka przepełnienia bufora (CVE-2024-50694)
Data publikacji: 30.12.2024
Produkt: Sungrow WiNet-S
Identyfikator CVE: CVE-2024-50694
Surowość:Wysoki
Data:30.12.2024
Falowniki
Systemy Magazynowania Energii
Stacje ładowania pojazdów elektrycznych
Pływający System Fotowoltaiczny
Inteligentne Produkty Energetyczne
Opis
W produktach Sungrow WiNet-S istnieje podatność na przepełnienie bufora. Atakujący mógłby wykorzystać tę lukę, aby spowodować warunek Denial-of-Service (DoS) lub osiągnąć Remote Code Execution (RCE), potencjalnie umożliwiając nieautoryzowaną kontrolę nad dotkniętymi urządzeniami.
Dotknięte wersje
Narażony: WINET-SV200.001.00.P027 i wcześniejsze wersje
Nie dotknięty: WINET-SV200.001.00.P028 i później
Ocena Podatności
CVE-2024-50694: 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
Ocena opiera się na standardzie CVSS 3.1. Kryteria oceny można odnaleźć w
Status eksploatacji
Brak znanych przypadków wykorzystania w naturze.
Podziękowania
Ta luka została odkryta i zgłoszona przez Forescout Technologies.
Status eksploatacji
Brak znanych przypadków wykorzystania w naturze.
Podziękowania
Ta luka została odkryta i zgłoszona przez Forescout Technologies.
Oświadczenie
Wszystkie aktualizacje oprogramowania, poprawki i dokumentacja dostarczone przez Sungrow Power Supply Co., Ltd. są własnością Sungrow. Materiały te mogą być używane wyłącznie do konserwacji produktu i poprawy bezpieczeństwa. Wszelkie nieautoryzowane modyfikacje, dystrybucja, dekompilacja lub inżynieria wsteczna są surowo zabronione.
Sungrow nie składa żadnych wyraźnych lub dorozumianych gwarancji dotyczących udostępnianych informacji, w tym, ale nie tylko, gwarancji dotyczących jakości handlowej, przydatności do określonego celu lub nie naruszania praw. Sungrow nie ponosi odpowiedzialności za jakiekolwiek bezpośrednie, pośrednie, przypadkowe lub następujące szkody wynikające z korzystania z tego dokumentu lub powiązanego oprogramowania.
Sungrow zastrzega sobie prawo do aktualizacji lub modyfikacji niniejszego dokumentu w dowolnym momencie bez uprzedniego powiadomienia. Klienci są odpowiedzialni za terminowe wdrażanie aktualizacji bezpieczeństwa w celu ochrony swoich systemów.