Name: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)

【Güvenlik Danışmanlığı】Sungrow WiNet-S – Uygunsuz Donanım Yazılımı Bütünlük Kontrolü Güvenlik Açığı (CVE-2024-50696)

Yayın Tarihi: 20241230

Ürün: Sungrow WiNet-S
CVE Kimliği: CVE-2024-50696
Şiddet:Yüksek

Tarih: 20241230

Açıklama

Sungrow WiNet-S firmware, güncelleme sürecinde uygun bütünlük kontrollerinden yoksundur. Bu güvenlik açığı, bir saldırganın, saldırgan kontrolündeki bir sunucuda barındırılan sahte bir firmware dosyasını yüklemek için belirli bir MQTT mesajı göndermesine izin verir. Bu, etkilenen cihazlarda kötü niyetli değişikliklere, yetkisiz kontrole veya cihazların kullanılmaz hale gelmesine neden olabilir.

Etkilenen Sürümler

Zayıf: WINET-SV200.001.00.P025 ve önceki sürümler

Etkilenmeyen: WINET-SV200.001.00.P026 ve sonrası

Güvenlik Açığı Derecelendirmesi

CVE-2024-50696：8.1（AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H）

Puanlama, CVSS 3.1 standardına dayanmaktadır. Puanlama kriterleri şurada referans alınabilir:

(https://www.first.org/cvss/calculator/3.1）

Azaltma ve İyileştirme

Önerilen Eylem:Müşteriler, firmware sürümüne yükseltmelidir WINET-SV200.001.00.P026 veya daha yüksek.

Yama Yayınlama: Şimdi mevcut.

Geçici Çözüm:Bir yükseltme tamamlanana kadar yetkisiz firmware kurulumlarını önlemek için ağ erişimini kısıtlayın.

İstismar Durumu

Vahşi doğada bilinen bir sömürü yok.

Teşekkürler

Bu güvenlik açığı şirket tarafından dahili olarak keşfedilmiş ve bildirilmiştir.

Beyan

Sungrow Power Supply Co., Ltd. tarafından sağlanan tüm yazılım güncellemeleri, yamaları ve dokümantasyonu Sungrow'un özel çalışmasıdır. Bu materyaller yalnızca ürün bakımı ve güvenlik iyileştirmeleri için kullanılabilir. Herhangi bir izinsiz değişiklik, dağıtım, tersine mühendislik veya geri çözümleme kesinlikle yasaktır.

Sungrow, sağlanan bilgilerle ilgili hiçbir açık veya zımni garanti vermez; ticari kullanılabilirlik, belirli bir amaca uygunluk veya ihlal edilmeme garantileri dahil ancak bunlarla sınırlı olmamak üzere. Sungrow, bu belge veya ilişkili yazılımın kullanımından kaynaklanan doğrudan, dolaylı, tesadüfi veya sonuçsal zararlardan sorumlu tutulamaz.

Sungrow, bu belgeyi önceden bildirimde bulunmaksızın istediği zaman güncelleme veya değiştirme hakkını saklı tutar. Müşteriler, sistemlerini korumak için güvenlik güncellemelerini zamanında uygulamaktan sorumludur.

Gizlilik Politikası Feragatname Çerez Politikası Genel Şartlar ve Koşullar