Generación insegura de credenciales de acceso SAT en Ingecon EMS Board
Las siguientes versiones de firmware de Ingecon Sun EMS Board están afectadas:
- AAX1055CT o anteriores;
- ABU1001_P o anteriores;
- ACL1201_B o anteriores;
- ACL1200AL o anteriores;
- ABH1027_K o anteriores;
- ABH1007_Z o anteriores;
- ABS1009_L o anteriores;
- ABS1005_T o anteriores;
- ACB1005_A o anteriores;
- AAX1031CN o anteriores.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a Ingecon Sun EMS Board de Ingeteam, un dispositivo que proporciona capacidades de conexión, monitorización y gestión remota a inversores solares . La vulnerabilidad ha sido descubierta por Rubén Santamarta.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-8072: CVSS v4.0: 9.2 | CVSS AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-327
El riesgo ha quedado mitigado con el desarrollo del parche válido para todas las versiones, desarrollado en el mes de diciembre de 2025. Se recomienda actualizar a las siguientes versiones:
- AAX1055CT: versión AAX1055CU;
- ABU1001_P: versión ABU1001_Q;
- ACL1201_B: versión ACL1201_C;
- ACL1200AL: versión ACL1200AM;
- ABH1027_K: versión ABH1027_L;
- ABH1007_Z: versión ABH1007AA;
- ABS1009_L: versión ABS1009_P;
- ABS1005_T: versión ABS1005_U;
- ACB1005_A: versión ACB1005_C;
- AAX1031CN: versión AAX1031CO.
CVE-2026-8072: generación insegura de credenciales en la funcionalidad de acceso SAT (Servicio de Asistencia Técnica) local de la Ingecon Sun EMS Board. La vulnerabilidad se producía debido a que las credenciales secretas de acceso no estaban basadas en un esquema criptográfico seguro, sino en un algoritmo débil de hashing, lo cual podría permitir a un atacante llevar a cabo una escalada de privilegios.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-8072 | Crítica | No | Ingeteam |
