ICS-CERT informuje o nowych podatnościach w produktach firmy Enphase. (P23-127)

cert.pse-online.pl 10 miesięcy temu

Produkt	Envoy: D7.0.88
Numer CVE	CVE-2023-33869
Krytyczność	6.3/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Opis	Wersja Enphase Envoy D7.0.88 i wcześniejsze są podatne na exploit wstrzykiwania poleceń, który może pozwolić atakującemu na wykonanie poleceń administratora.

Aktualizacja	TAK
Link	https://www.cisa.gov/news-events/ics-advisories/icsa-23-171-01

Produkt	Installer Toolkit: 3.27.0
Numer CVE	CVE-2023-32274
Krytyczność	8.6/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Opis	Enphase Installer Toolkit w wersji 3.27.0 i wcześniejszych ma zakodowane na stałe poświadczenia osadzone w kodzie binarnym aplikacji na Androida. Atakujący może to wykorzystać i uzyskać dostęp do poufnych informacji.

Aktualizacja	TAK
Link	https://www.cisa.gov/news-events/ics-advisories/icsa-23-171-02