کشف آسیب پذیری در Nuvation Energy MSC

Nuvation Energy Multi-Stack Controller (MSC) یک مؤلفه/کنترلر در سامانه‌های ذخیره‌سازی انرژی و مدیریت پشته‌های باتری است که معمولاً در محیط‌های عملیاتی و صنعتی استفاده می‌شود.

اخیراً یک آسیب‌پذیری بحرانی با شناسه CVE-2025-64121 و امتیاز CVSS v4.0: 10.0 برای این محصول ثبت شده است. این آسیب‌پذیری از نوع Authentication Bypass Using an Alternate Path or Channel (CWE-288) بوده و در صورت بهره‌برداری موفق، مهاجم می‌تواند بدون احراز هویت سازوکارهای ورود را دور بزند.

محصولات تحت تأثیر

• Nuvation Energy Multi-Stack Controller (MSC)

• بازه نسخه‌های آسیب‌پذیر: از 2.3.8 تا قبل از 2.5.1

• طبق Advisory دراگوس، این آسیب‌پذیری در Platform 2.3.8 معرفی و در Platform 2.5.1 رفع شده است.

توصیه‌های امنیتی

• به‌روزرسانی فوری: ارتقاء MSC به nPlatform 2.5.1 / MSC 22.4.0 (یا نسخه‌های جدیدتر در صورت ارائه).
• کاهش سطح در معرض بودن تا زمان ارتقا: دسترسی به MSC را از شبکه‌های غیرقابل‌اعتماد/خصمانه محدود کنید (تفکیک شبکه، Allowlist، VPN) و سرویس‌های مدیریتی را فقط از مسیرهای مجاز در دسترس قرار دهید.
• سخت‌سازی تنظیمات: طبق توصیه Dragos، احراز هویت MSC را فعال کرده و رمز عبور قوی تنظیم کنید.
• کاهش ریسک جانبی (اختیاری): در صورت عدم نیاز عملیاتی، دسترسی به سرویس nCloud را محدود کنید.