Peter Kariuki

**Nome do Software Vulnerável e Versões Afetadas** Tigo Energy Cloud Connect Advanced (CCA) (versões afetadas não especificadas) **Descrição** O dispositivo Cloud Connect Advanced (CCA) da Tigo Energy contém credenciais embutidas no código que permitem que usuários não autorizados obtenham acesso administrativo. Isso permite que atacantes escalem privilégios e assumam o controle total do dispositivo, potencialmente modificando configurações do sistema, interrompendo a produção de energia solar e interferindo nos mecanismos de segurança. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tigo Energy CCA (versões afetadas não especificadas) **Descrição** O Tigo Energy CCA está vulnerável a uma falha de injeção de comandos no endpoint `/cgi-bin/mobile api` quando o comando `DEVICE PING` é invocado. Isso permite a execução remota de código devido ao tratamento inadequado da entrada do usuário. A exploração com credenciais padrão pode levar a acesso não autorizado, interrupção do serviço e exposição de dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Dispositivo Tigo Energy CCA (versões afetadas não especificadas) **Descrição** O dispositivo Tigo Energy CCA é suscetível à geração insegura de ID de sessão em sua API remota. Os IDs de sessão são criados usando um método previsível baseado no timestamp atual, o que potencialmente permite que atacantes recriem IDs de sessão válidos. Isso, combinado com a capacidade de contornar os requisitos de ID de sessão para comandos específicos, poderia conceder acesso não autorizado a funções sensíveis do dispositivo em sistemas de otimização solar conectados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.