Sinapsi eSolar Light Photovoltaic System Monitor sérülékenységek

CH azonosító

CH-7754

Angol cím

SINAPSI ESOLAR LIGHT PHOTOVOLTAIC SYSTEM MONITOR MULTIPLE VULNERABILITIES

Felfedezés dátuma

2012.10.14.

Súlyosság

Kritikus

Érintett rendszerek

Sinapsi
eSolar Light Photovoltaic System Monitor

Érintett verziók

Sinapsi eSolar Light Photovoltaic System Monitor

Összefoglaló

A Sinapsi eSolar Light Photovoltaic System Monitor több sérülékenységét jelentették, amiket kihasználva a támadók feltörhetik a sérülékeny rendszert.

Leírás

A sérülékenységet az okozza, hogy az eszköz egy előre beállított felhasználói fiókot tartalmaz, amelyen keresztül a támadók távolról kapcsolódhatnak a szerverhez, tetszőleges kódot futtathatnak, amellyel sérülhet a rendszer elérhetősége és integritása. A sérülékenységet távolról kihasználó PoC (proof-of-concept) kód nyilvánosságra került, amely az alábbi típusú, nem részletezett támadásokat teszi lehetővé:

  • Jogosulatlan hozzáférés
  • SQL befecskendezéses (SQL injection) támadás
  • Távoli parancs végrehajtás
  • Broken session enforcement

Megoldás

A gyártó még nem adott ki javítást a sérülékenységekre. Javaslatok a kockázatok csökkentésére:

  • Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
  • A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
  • Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-49719 – Microsoft SQL Server Information Disclosure sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
Tovább a sérülékenységekhez »