Compact

Die Schwachstelle betrifft die Solaranlagen-Überwachung SolarView Compact und steckt im Webserver des Produkts, genauer in der Funktion zum Versand einer Test-E-Mail über die zugehörige Konsole. Dort werden die eingegebenen Werte nicht ausreichend geprüft, sodass ein Angreifer eigene Betriebssystembefehle in die Verarbeitung einschleusen kann (Command Injection). Statt nur die vorgesehene E-Mail-Aktion auszulösen, bringt er das Gerät so dazu, von ihm vorgegebene Befehle auszuführen. Dadurch kann er die Kontrolle über die betroffene Komponente erlangen und das Überwachungssystem manipulieren. Da solche Anlagen zur Überwachung von Photovoltaik-Installationen dienen und ihr Webserver häufig über das Netzwerk erreichbar ist, bildet die test-Mail-Funktion einen unmittelbar angreifbaren Einstiegspunkt. Betroffen sind Betreiber, die SolarView Compact zur Steuerung und Beobachtung ihrer Solartechnik einsetzen.