CRITICAL🇬🇧 English

CVE-2025-64121

Ominięcie uwierzytelniania w Nuvation Energy Multi-Stack Controller (MSC)

CVSS 10.0v4.0pub. 2026-01-02upd. 2026-02-26

Krytyczna podatność (CVSS 10.0) w systemie Nuvation Energy Multi-Stack Controller (MSC) umożliwia nieuwierzytelnionym atakującym całkowite ominięcie mechanizmów uwierzytelniania. Zagrożenie dotyczy urządzeń stosowanych w przemysłowych systemach zarządzania energią i bateryjnymi zasobnikami energii.

Pokaż oryginał (EN)

Authentication Bypass Using an Alternate Path or Channel vulnerability in Nuvation Energy Multi-Stack Controller (MSC) allows Authentication Bypass.This issue affects Multi-Stack Controller (MSC): from 2.3.8 before 2.5.1.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-288 (Authentication Bypass Using an Alternate Path or Channel) polega na możliwości dostępu do chronionych zasobów lub funkcji systemu poprzez alternatywną ścieżkę lub kanał komunikacji, który nie wymaga prawidłowego uwierzytelnienia. Atakujący zdalnie, bez żadnych uprawnień ani interakcji ze strony użytkownika, może ominąć standardowe mechanizmy kontroli dostępu wbudowane w kontroler MSC. Exploit nie wymaga szczególnych warunków sieciowych ani uprawnień wstępnych.

Skutki

Nieuwierzytelniony atakujący zdalny uzyskuje pełen dostęp do kontrolera MSC, co może prowadzić do przejęcia kontroli nad urządzeniem, manipulacji konfiguracją systemów zarządzania bateryjnymi zasobnikami energii oraz potencjalnie do zakłócenia pracy infrastruktury energetycznej. Podatność wpływa zarówno na poufność, integralność, jak i dostępność systemu oraz powiązanych komponentów.

Mitygacja

Należy zaktualizować oprogramowanie Nuvation Energy Multi-Stack Controller (MSC) do wersji 2.5.1 lub nowszej. Szczegółowe informacje dotyczące aktualizacji dostępne są w poradniku producenta oraz w referencjach Dragos pod adresem https://www.dragos.com/community/advisories/CVE-2025-64119. Do czasu zastosowania patcha zaleca się izolację urządzeń MSC od sieci publicznych oraz ograniczenie dostępu sieciowego wyłącznie do zaufanych hostów.

Kogo dotyczy

Nuvation Energy Multi-Stack Controller (MSC) w wersjach od 2.3.8 do 2.5.1 (wyłącznie), obejmujący produkty: nPlatform, NuvMSC3-04S-C, NuvMSC3-08S-C, NuvMSC3-12S-C, NuvMSC3-16S-C.

Uwagi

Podatność dotyczy urządzeń stosowanych w przemysłowej infrastrukturze energetycznej (OT/ICS). Referencja wskazana w opisie odnosi się do poradnika Dragos (CVE-2025-64119), który może zawierać dodatkowe szczegóły techniczne.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:P/AU:Y/R:X/V:X/RE:X/U:X
  • Nuvationenergy Nplatform

    APP
    Nuvationenergy
    2.3.8 – 2.5.1 (bez)
  • Nuvationenergy Nuvmsc3 04s C

    HW
    Nuvationenergy
    wszystkie wersje
  • Nuvationenergy Nuvmsc3 08s C

    HW
    Nuvationenergy
    wszystkie wersje
  • Nuvationenergy Nuvmsc3 12s C

    HW
    Nuvationenergy
    wszystkie wersje
  • Nuvationenergy Nuvmsc3 16s C

    HW
    Nuvationenergy
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-64120CRITICAL9.4PL ✓ten sam produkt

OS Command Injection w Nuvation Energy Multi-Stack Controller (MSC)

CVE-2025-64124HIGH8.7ten sam produkt

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability in Nu...

CVE-2025-64122HIGH7.2ten sam produkt

Insufficiently Protected Credentials vulnerability in Nuvation Energy Multi-Stack Controller (MSC) allows Sign...

CVE-2025-64123HIGH7.9ten sam produkt

Unintended Proxy or Intermediary vulnerability in Nuvation Energy Multi-Stack Controller (MSC) allows Network ...