Uso de credenciales codificadas en PVS6 de SunPower
PVS6: Versiones 2025.06 build 61839 y anteriores.
Dagan Henderson ha informado sobre una vulnerabilidad de severidad crítica que podría permitir a los atacantes obtener acceso completo al dispositivo, lo que les permitiría reemplazar el firmware, modificar configuraciones, deshabilitar el dispositivo, crear túneles SSH y manipular los dispositivos conectados.
No existe solución por el momento. Se recomienda contactar con SunPower para obtener más información.
La interfaz BluetoothLE es vulnerable debido al uso de parámetros de cifrado codificados y detalles de protocolo de acceso público. Un atacante dentro del alcance de Bluetooth podría explotar esta vulnerabilidad para obtener acceso completo a la interfaz de servicio del dispositivo. Este acceso le permite realizar acciones como reemplazar el firmware, desactivar la producción de energía, modificar la configuración de la red, crear túneles SSH, alterar la configuración del firewall y manipular los dispositivos conectados.
Se ha asignado el identificador CVE-2025-9696 para esta vulnerabilidad.
