Múltiples vulnerabilidades en productos de SMA

Fecha de publicación 26/02/2024
Importancia
4 - Alta
Recursos Afectados
  • SMA Cluster Controller, versión 01.05.01.R.
  • Sunny Webbox, versiones 1.61 y anteriores.
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades, una de severidad alta y otra media, que afectan a SMA Cluster Controller, versión 01.05.01.R, un dispositivo para monitorear y controlar inversores de SMA, y a Sunny Webbox, versión 1.6.1 y anteriores, un registrador de datos que graba y registra los datos de una instalación fotovoltaica y los pone a disposición para su consulta, las cuales han sido descubiertas por David Matilla Rebollo.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-1889: 8.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CWE-352 
  • CVE-2024-1890: 6.4 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:L | CWE-1021 
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2024-1889: vulnerabilidad de Cross-Site Request Forgery en SMA Cluster Controller, que afecta a la versión 01.05.01.R. Esta vulnerabilidad podría permitir a un atacante enviar un enlace malicioso a un usuario autenticado para realizar acciones con estos permisos del usuario en el dispositivo afectado.
  • CVE-2024-1890: vulnerabilidad por la cual un atacante podría enviar un enlace malicioso a un operador autenticado, lo que podría permitir a atacantes remotos realizar un ataque de clickjacking en la versión de firmware Sunny WebBox 1.6.1 y anteriores.