Múltiples vulnerabilidades en Cloud Connect Advanced de Tigo Energy
Cloud Connect Advanced: versiones 4.0.1 y anteriores.
Anthony Rose y Jacob Krasnov, de BC Security, y Peter Kariuki, de Ovanova han informado sobre 3 vulnerabilidades: 1 de severidad crítica y 2 altas. La explotación exitosa de estas vulnerabilidades podría permitir a los atacantes obtener acceso administrativo no autorizado mediante credenciales codificadas, escalar privilegios para tomar el control total del dispositivo, modificar configuraciones del sistema, interrumpir la producción de energía solar, interferir con los mecanismos de seguridad, ejecutar comandos arbitrarios mediante inyección de comandos, causar interrupciones del servicio, exponer datos confidenciales y, debido a la generación insegura de identificaciones de sesión, recrear identificaciones de sesión válidas para acceder a funciones confidenciales del dispositivo en sistemas de inversores solares conectados.
Tigo Energy está al tanto de estas vulnerabilidades y está trabajando activamente para solucionarlas.
- CVE-2025-7768: el dispositivo contiene credenciales codificadas que permiten a usuarios, no autorizados, obtener acceso administrativo. Esta vulnerabilidad podría permitir a los atacantes escalar privilegios y tomar el control total del dispositivo, lo que podría modificar la configuración del sistema, interrumpir la producción de energía e interferir con los mecanismos de seguridad.
- CVE-2025-7769: inyección de comandos en el endpoint '/cgi-bin/mobile_api' al ejecutar el comando DEVICE_PING, lo que podría permitir la ejecución remota de código debido al manejo inadecuado de la entrada del usuario. Al usar las credenciales predeterminadas, esto podría permitir a los atacantes ejecutar comandos arbitrarios en el dispositivo, lo que provocaría acceso no autorizado, interrupción del servicio y exposición de datos.
- CVE-2025-7770: generación insegura de identificadores de sesión en su API remota. Estos identificadores se generan mediante un método predecible basado en la marca de tiempo actual, lo que permitiría a los atacantes recrear identificadores de sesión válidos. Esto, junto con la capacidad de omitir los requisitos de identificador de sesión para ciertos comandos, podría permitir el acceso no autorizado a funciones sensibles del dispositivo en los sistemas de optimización solar conectados.
