Er is een ernstige kwetsbaarheid ontdekt in de Growatt cloud service, geïdentificeerd als CVE-2025-29757. Deze kwetsbaarheid stelt kwaadwillende gebruikers met een geldig account in staat om willekeurige ‘plants’ over te dragen naar hun eigen account, door een fout in de autorisatiecontrole bij de ‘plant transfer’ functie.
Overzicht
De kwetsbaarheid valt onder CWE-863: Incorrect Authorization en heeft een CVSS-score van 9.4, wat betekent dat het als kritiek is beoordeeld. De kwetsbaarheid maakt gebruik van een netwerk-gerelateerde aanvalsvector met lage complexiteit en vereist geen gebruikersinteractie.
Aanbevelingen
- Controleer of uw systemen draaien op de laatste versies van de Growatt cloud services.
- Zorg voor regelmatige updates om beveiligingslekken te dichten.
- Beperk toegangsrechten tot alleen diegene met noodzakelijke toegang.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-29757?
CVE-2025-29757 is een kritiek beveiligingslek in de Growatt cloud service, waar gebruikers met toegang tot een geldig account ‘plants’ kunnen verplaatsen naar hun eigen account zonder een correcte controle.
Welke systemen zijn kwetsbaar voor CVE-2025-29757?
Systemen met versies ouder dan 13 juni 2025 van de Growatt cloud services zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Controleer met uw leverancier of er updates of patches beschikbaar zijn voor uw versie van de Growatt cloud services.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ‘plants’ van andere accounts overdragen naar zijn eigen account, met potentieel grote gevolgen voor de privacy en de operationele continuïteit.
