Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Múltiples vulnerabilidades en productos de SMA

In Noticias y Avisos CiberseguridadPosted
Múltiples vulnerabilidades en productos de SMA

Aviso SCI
Recursos Afectados
  • SMA Cluster Controller, versión 01.05.01.R.
  • Sunny Webbox, versiones 1.61 y anteriores.
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades, una de severidad alta y otra media, que afectan a SMA Cluster Controller, versión 01.05.01.R, un dispositivo para monitorear y controlar inversores de SMA, y a Sunny Webbox, versión 1.6.1 y anteriores, un registrador de datos que graba y registra los datos de una instalación fotovoltaica y los pone a disposición para su consulta, las cuales han sido descubiertas por David Matilla Rebollo.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-1889: 8.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CWE-352 

  • CVE-2024-1890: 6.4 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:L | CWE-1021 

4 – Alta
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2024-1889: vulnerabilidad de Cross-Site Request Forgery en SMA Cluster Controller, que afecta a la versión 01.05.01.R. Esta vulnerabilidad podría permitir a un atacante enviar un enlace malicioso a un usuario autenticado para realizar acciones con estos permisos del usuario en el dispositivo afectado.
  • CVE-2024-1890: vulnerabilidad por la cual un atacante podría enviar un enlace malicioso a un operador autenticado, lo que podría permitir a atacantes remotos realizar un ataque de clickjacking en la versión de firmware Sunny WebBox 1.6.1 y anteriores.
Listado de referencias
Manual de usuario – SMA Cluster Controller
Ficha de producto – Sunny Webbox

Etiquetas

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.