CVE-2017-9852

Опубликовано: 05 авг. 2017

Источник: nvd

CVSS3: 9.8

CVSS2: 5

EPSS Низкий

Описание

An Incorrect Password Management issue was discovered in SMA Solar Technology products. Default passwords exist that are rarely changed. User passwords will almost always be default. Installer passwords are expected to be default or similar across installations installed by the same company (but are sometimes changed). Hidden user accounts have (at least in some cases, though more research is required to test this for all hidden user accounts) a fixed password for all devices; it can never be changed by a user. Other vulnerabilities exist that allow an attacker to get the passwords of these hidden user accounts. NOTE: the vendor reports that it has no influence on the allocation of passwords, and that global hardcoded master passwords do not exist. Also, only Sunny Boy TLST-21 and TL-21 and Sunny Tripower TL-10 and TL-30 could potentially be affected

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:sma:sunny_boy_3600_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_boy_3600:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:sma:sunny_boy_5000_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_boy_5000:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:sma:sunny_tripower_core1_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_tripower_core1:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:sma:sunny_tripower_15000tl_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_tripower_15000tl:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:sma:sunny_tripower_20000tl_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_tripower_20000tl:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:sma:sunny_tripower_25000tl_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_tripower_25000tl:-:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

cpe:2.3:o:sma:sunny_tripower_5000tl_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_tripower_5000tl:-:*:*:*:*:*:*:*

Конфигурация 8

Одновременно

cpe:2.3:o:sma:sunny_tripower_12000tl_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_tripower_12000tl:-:*:*:*:*:*:*:*

Конфигурация 9

Одновременно

cpe:2.3:o:sma:sunny_tripower_60_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_tripower_60:-:*:*:*:*:*:*:*

Конфигурация 10

Одновременно

cpe:2.3:o:sma:sunny_boy_3000tl_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_boy_3000tl:-:*:*:*:*:*:*:*

Конфигурация 11

Одновременно

cpe:2.3:o:sma:sunny_boy_3600tl_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_boy_3600tl:-:*:*:*:*:*:*:*

Конфигурация 12

Одновременно

cpe:2.3:o:sma:sunny_boy_4000tl_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_boy_4000tl:-:*:*:*:*:*:*:*

Конфигурация 13

Одновременно

cpe:2.3:o:sma:sunny_boy_5000tl_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_boy_5000tl:-:*:*:*:*:*:*:*

Конфигурация 14

Одновременно

cpe:2.3:o:sma:sunny_boy_1.5_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_boy_1.5:-:*:*:*:*:*:*:*

Конфигурация 15

Одновременно

cpe:2.3:o:sma:sunny_boy_2.5_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_boy_2.5:-:*:*:*:*:*:*:*

Конфигурация 16

Одновременно

cpe:2.3:o:sma:sunny_boy_3.0_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_boy_3.0:-:*:*:*:*:*:*:*

Конфигурация 17

Одновременно

cpe:2.3:o:sma:sunny_boy_3.6_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_boy_3.6:-:*:*:*:*:*:*:*

Конфигурация 18

Одновременно

cpe:2.3:o:sma:sunny_boy_4.0_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_boy_4.0:-:*:*:*:*:*:*:*

Конфигурация 19

Одновременно

cpe:2.3:o:sma:sunny_boy_5.0_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_boy_5.0:-:*:*:*:*:*:*:*

Конфигурация 20

Одновременно

cpe:2.3:o:sma:sunny_central_2200_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_2200:-:*:*:*:*:*:*:*

Конфигурация 21

Одновременно

cpe:2.3:o:sma:sunny_central_1000cp_xt_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_1000cp_xt:-:*:*:*:*:*:*:*

Конфигурация 22

Одновременно

cpe:2.3:o:sma:sunny_central_800cp_xt_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_800cp_xt:-:*:*:*:*:*:*:*

Конфигурация 23

Одновременно

cpe:2.3:o:sma:sunny_central_850cp_xt_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_850cp_xt:-:*:*:*:*:*:*:*

Конфигурация 24

Одновременно

cpe:2.3:o:sma:sunny_central_900cp_xt_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_900cp_xt:-:*:*:*:*:*:*:*

Конфигурация 25

Одновременно

cpe:2.3:o:sma:sunny_central_500cp_xt_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_500cp_xt:-:*:*:*:*:*:*:*

Конфигурация 26

Одновременно

cpe:2.3:o:sma:sunny_central_630cp_xt_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_630cp_xt:-:*:*:*:*:*:*:*

Конфигурация 27

Одновременно

cpe:2.3:o:sma:sunny_central_720cp_xt_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_720cp_xt:-:*:*:*:*:*:*:*

Конфигурация 28

Одновременно

cpe:2.3:o:sma:sunny_central_760cp_xt_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_760cp_xt:-:*:*:*:*:*:*:*

Конфигурация 29

Одновременно

cpe:2.3:o:sma:sunny_central_storage_500_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_storage_500:-:*:*:*:*:*:*:*

Конфигурация 30

Одновременно

cpe:2.3:o:sma:sunny_central_storage_630_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_storage_630:-:*:*:*:*:*:*:*

Конфигурация 31

Одновременно

cpe:2.3:o:sma:sunny_central_storage_720_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_storage_720:-:*:*:*:*:*:*:*

Конфигурация 32

Одновременно

cpe:2.3:o:sma:sunny_central_storage_760_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_storage_760:-:*:*:*:*:*:*:*

Конфигурация 33

Одновременно

cpe:2.3:o:sma:sunny_central_storage_800_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_storage_800:-:*:*:*:*:*:*:*

Конфигурация 34

Одновременно

cpe:2.3:o:sma:sunny_central_storage_850_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_storage_850:-:*:*:*:*:*:*:*

Конфигурация 35

Одновременно

cpe:2.3:o:sma:sunny_central_storage_900_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_storage_900:-:*:*:*:*:*:*:*

Конфигурация 36

Одновременно

cpe:2.3:o:sma:sunny_central_storage_1000_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_storage_1000:-:*:*:*:*:*:*:*

Конфигурация 37

Одновременно

cpe:2.3:o:sma:sunny_central_storage_2200_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_storage_2200:-:*:*:*:*:*:*:*

Конфигурация 38

Одновременно

cpe:2.3:o:sma:sunny_central_storage_2500-ev_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_central_storage_2500-ev:-:*:*:*:*:*:*:*

Конфигурация 39

Одновременно

cpe:2.3:o:sma:sunny_boy_storage_2.5_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:sma:sunny_boy_storage_2.5:-:*:*:*:*:*:*:*

EPSS

Процентиль: 55%

0.00327

Низкий

9.8 Critical

CVSS3

5 Medium

CVSS2

Дефекты

CWE-798

Связанные уязвимости

GHSA-2fg4-v4xr-h42m

CVSS3: 9.8

github

больше 3 лет назад

** DISPUTED ** An Incorrect Password Management issue was discovered in SMA Solar Technology products. Default passwords exist that are rarely changed. User passwords will almost always be default. Installer passwords are expected to be default or similar across installations installed by the same company (but are sometimes changed). Hidden user accounts have (at least in some cases, though more research is required to test this for all hidden user accounts) a fixed password for all devices; it can never be changed by a user. Other vulnerabilities exist that allow an attacker to get the passwords of these hidden user accounts. NOTE: the vendor reports that it has no influence on the allocation of passwords, and that global hardcoded master passwords do not exist. Also, only Sunny Boy TLST-21 and TL-21 and Sunny Tripower TL-10 and TL-30 could potentially be affected.

EPSS

Процентиль: 55%

0.00327

Низкий

9.8 Critical

CVSS3

5 Medium

CVSS2

Дефекты

CWE-798