Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09579

Опубликовано: 05 авг. 2025
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость команды DEVICE_PING средства мониторинга и управления солнечными энергетическими системами Tigo Cloud Connect Advanced (CCA) связана с непринятием мер по очистке данных на управляющем уровне при обработке конечной точки /cgi-bin/mobile_api. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, выполнить произвольные команды или вызвать отказ в обслуживании

Вендор

Tigo Energy, Inc.

Наименование ПО

Cloud Connect Advanced (CCA)

Версия ПО

до 4.0.1 включительно (Cloud Connect Advanced (CCA))

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)
Высокий уровень опасности (оценка CVSS 4.0 составляет 8,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа;
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03516
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-7769

nvd
около 1 месяца назад

Tigo Energy's CCA is vulnerable to a command injection vulnerability in the /cgi-bin/mobile_api endpoint when the DEVICE_PING command is called, allowing remote code execution due to improper handling of user input. When used with default credentials, this enables attackers to execute arbitrary commands on the device that could cause potential unauthorized access, service disruption, and data exposure.

github логотип

GHSA-crj2-hw3j-xqwx

github
около 1 месяца назад

Tigo Energy's CCA is vulnerable to a command injection vulnerability in the /cgi-bin/mobile_api endpoint when the DEVICE_PING command is called, allowing remote code execution due to improper handling of user input. When used with default credentials, this enables attackers to execute arbitrary commands on the device that could cause potential unauthorized access, service disruption, and data exposure.

EPSS

Процентиль: 87%
0.03516
Низкий

8.8 High

CVSS3

9 Critical

CVSS2