Anthony Rose

**Nome do Software Vulnerável e Versões Afetadas** Interface Web de Monitoramento e Controle Packet Power (versões afetadas não especificadas) **Descrição** A Interface Web de Monitoramento e Controle Packet Power não impõe mecanismos de autenticação por padrão. Isso poderia permitir que usuários não autorizados acessem e manipulem funções de monitoramento e controle. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Inversor (versões afetadas não especificadas) **Descrição** O tráfego de comandos MOD3 entre o aplicativo de monitoramento e o inversor é transmitido em texto simples, sem criptografia ou ofuscação. Isso pode permitir que um invasor com acesso a uma rede local intercepte, manipule, reproduza ou forje dados críticos. Esses dados incluem operações de leitura/gravação para configuração de tensão, corrente e potência, status operacional, alarmes, telemetria, reinicialização do sistema ou comandos de controle do inversor, potencialmente interrompendo a geração de energia ou reconfigurando as definições do inversor. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** EG4 (versões afetadas não especificadas) **Descrição** O produto afetado permite que atualizações de firmware sejam baixadas do site da EG4, transferidas via dongles USB ou instaladas através do Centro de Monitoramento da EG4 (interface remota conectada à nuvem) ou via conexão serial. Esses arquivos são instalados sem verificações de integridade. O formato de arquivo TTComp utilizado para o firmware não é criptografado e pode ser descompactado e alterado sem detecção. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** versões anteriores a 6 de abril de 2025 **Descrição** O produto não limita o número de tentativas para inserção do PIN correto em um produto registrado, potencialmente permitindo que um invasor obtenha acesso não autorizado utilizando métodos de força bruta, caso possua um número de série válido do dispositivo. A API fornece confirmação ao inserir o PIN corretamente. **Recomendações** Atualize o produto para a versão lançada em ou após 6 de abril de 2025.

**Nome do Software Vulnerável e Versões Afetadas** Não foi possível determinar o nome do produto. (versões afetadas não especificadas) **Descrição** O servidor de endpoint de registro do produto exposto publicamente responde de maneira diferente com base no status do número de série (`S/N`) – seja ele válido e não registrado, válido mas já registrado, ou inexistente no banco de dados. Isso, combinado com a atribuição sequencial de números de série, permite que um atacante colete informações sobre o status de registro do produto de diferentes números de série. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tigo Energy CCA (versões afetadas não especificadas) **Descrição** O Tigo Energy CCA está vulnerável a uma falha de injeção de comandos no endpoint `/cgi-bin/mobile api` quando o comando `DEVICE PING` é invocado. Isso permite a execução remota de código devido ao tratamento inadequado da entrada do usuário. A exploração com credenciais padrão pode levar a acesso não autorizado, interrupção do serviço e exposição de dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Dispositivo Tigo Energy CCA (versões afetadas não especificadas) **Descrição** O dispositivo Tigo Energy CCA é suscetível à geração insegura de ID de sessão em sua API remota. Os IDs de sessão são criados usando um método previsível baseado no timestamp atual, o que potencialmente permite que atacantes recriem IDs de sessão válidos. Isso, combinado com a capacidade de contornar os requisitos de ID de sessão para comandos específicos, poderia conceder acesso não autorizado a funções sensíveis do dispositivo em sistemas de otimização solar conectados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tigo Energy Cloud Connect Advanced (CCA) (versões afetadas não especificadas) **Descrição** O dispositivo Cloud Connect Advanced (CCA) da Tigo Energy contém credenciais embutidas no código que permitem que usuários não autorizados obtenham acesso administrativo. Isso permite que atacantes escalem privilégios e assumam o controle total do dispositivo, potencialmente modificando configurações do sistema, interrompendo a produção de energia solar e interferindo nos mecanismos de segurança. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.