Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en EG4 Inverters de EG4 Electronics

Fecha de publicación 08/08/2025
Identificador
INCIBE-2025-0431
Importancia
5 - Crítica
Recursos Afectados

Todas las versiones de:

  • EG4 12kPV;
  • EG4 18kPV;
  • EG4 Flex 21;
  • EG4 Flex 18;
  • EG4 6000XP;
  • EG4 12000XP;
  • EG4 GridBoss.
Descripción

Anthony Rose, de BC Security, ha informado sobre 4 vulnerabilidades: 1 de severidad crítica, 2 altas y 1 media. la explotación exitosa de estas vulnerabilidades podría permitir a un atacante interceptar y manipular datos críticos, instalar firmware malicioso, secuestrar el acceso al dispositivo y obtener control no autorizado sobre el sistema.

Solución

EG4 ha reconocido las vulnerabilidades y está trabajando activamente para solucionarlas, incluyendo nuevo hardware cuyo lanzamiento está previsto para el 15 de octubre de 2025. Hasta entonces, EG4 supervisará activamente todos los sistemas instalados y trabajará con los usuarios afectados caso por caso si se observan anomalías.

Detalle
  • CVE-2025-46414: el producto afectado no limita el número de intentos para introducir el PIN correcto de un producto registrado, lo que podría permitir que un atacante obtenga acceso no autorizado mediante ataques de fuerza bruta si posee un número de serie válido del dispositivo. Esta vulnerabilidad se corrigió en una actualización del servidor el 6 de abril de 2025.
  • CVE-2025-53520: el producto afectado permite descargar actualizaciones de firmware desde el sitio web de EG4, transferirlas mediante llaves USB, instalarlas a través del Centro de Monitoreo de EG4 (interfaz remota conectada a la nube) o mediante una conexión serial, y puede instalar estos archivos sin comprobaciones de integridad. El formato de archivo TTComp utilizado para el firmware no está cifrado y puede descomprimirse y modificarse sin ser detectado.
  • CVE-2025-52586: El tráfico de comandos MOD3 entre la aplicación de monitorización y el inversor se transmite en texto plano, sin cifrado ni ofuscación. Esta vulnerabilidad podría permitir que un atacante con acceso a una red local intercepte, manipule, reproduzca o falsifique datos críticos, como operaciones de lectura/escritura de voltaje, corriente y configuración de potencia, estado operativo, alarmas, telemetría, reinicio del sistema o comandos de control del inversor, lo que podría interrumpir la generación de energía o reconfigurar los ajustes del inversor.

Se ha asignado el identificador CVE-2025-47872 para la vulnerabilidad de severidad media.

CVE
Explotación
No
Nuevo Fabricante
EG4 Electronics
Identificador CVE
CVE-2025-46414
Severidad
Crítica
Explotación
No
Nuevo Fabricante
EG4 Electronics
Identificador CVE
CVE-2025-53520
Severidad
Alta
Explotación
No
Nuevo Fabricante
EG4 Electronics
Identificador CVE
CVE-2025-52586
Severidad
Alta
Listado de referencias
ICSA-25-219-07 - EG4 Electronics EG4 Inverters
Etiquetas