A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgou esta semana alertas detalhando duas vulnerabilidades não corrigidas nos produtos Enphase.
Na terça-feira, a CISA publicou dois alertas do ICS para alertar sobre vulnerabilidades nos produtos Enphase que podem levar a vazamentos de informações ou execução de comandos. Ambos são considerados remotamente exploráveis com baixa complexidade de ataque.
A CISA adverte que o Enphase Installer Toolkit para Android versões 3.27.0 e anteriores contém credenciais codificadas que um invasor pode usar para obter acesso a dados confidenciais.
O Enphase Installer Toolkit está atualmente disponível para download como versão 3.30.0 para Android e iOS.
De acordo com a CISA, a Enphase Energy não respondeu aos pedidos para trabalhar com a agência no tratamento dessas vulnerabilidades.
Ambos os problemas foram relatados por um pesquisador de segurança usando apenas o identificador ‘OBSWCY3F’
