الثغرات ›

CVE-2025-64124

مرتفع

ثغرة حقن أوامر نظام التشغيل في متحكم Nuvation Energy Multi-Stack قبل الإصدار 2.5.1

CWE-78 — نوع الضعف

                    نُشر: Jan 3, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability in Nuvation Energy Multi-Stack Controller (MSC) allows OS Command Injection.This issue affects Multi-Stack Controller (MSC): before 2.5.1.

🤖 ملخص AI

CVE-2025-64124 is a critical OS command injection vulnerability in Nuvation Energy Multi-Stack Controller (MSC) versions before 2.5.1, with a CVSS score of 8.8. This vulnerability allows unauthenticated attackers to execute arbitrary OS commands on affected systems, potentially compromising energy infrastructure and critical operational technology. Immediate patching to version 2.5.1 or later is essential for all Saudi organizations operating renewable energy systems.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 22, 2026 06:14

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses significant risk to Saudi Arabia's energy sector, particularly organizations operating renewable energy projects and solar installations using Nuvation Energy MSC systems. Primary impact sectors include: (1) ARAMCO and subsidiary energy companies managing distributed energy resources; (2) KACARE (King Abdullah City for Atomic and Renewable Energy) renewable energy initiatives; (3) Regional power distribution companies and private renewable energy operators; (4) Critical infrastructure supporting Vision 2030 energy diversification goals. The vulnerability enables complete system compromise, potential disruption of power generation/distribution, and unauthorized access to operational technology networks.

🏢 القطاعات السعودية المتأثرة

Energy/Renewable Energy Critical Infrastructure Power Distribution Government (KACARE) Oil & Gas (ARAMCO subsidiaries)

🎯 تقنيات MITRE ATT&CK

T1059 - Command and Scripting Interpreter T1059.004 - Unix Shell T1190 - Exploit Public-Facing Application T1021 - Remote Services T1543 - Create or Modify System Process

⚖️ درجة المخاطر السعودية (AI)

8.9

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Nuvation Energy Multi-Stack Controller (MSC) systems in your environment and document their current firmware versions

2. Isolate affected MSC systems from untrusted networks immediately if version is below 2.5.1

3. Implement network segmentation to restrict access to MSC systems to authorized personnel only



PATCHING GUIDANCE:

1. Upgrade all affected Multi-Stack Controller systems to version 2.5.1 or later

2. Follow Nuvation Energy's official upgrade procedures to ensure safe firmware deployment

3. Test patches in non-production environments first

4. Schedule maintenance windows for production system updates



COMPENSATING CONTROLS (if immediate patching not possible):

1. Implement strict input validation and sanitization on all interfaces communicating with MSC

2. Deploy Web Application Firewall (WAF) rules to block command injection patterns

3. Restrict network access to MSC systems using firewall rules (whitelist only authorized IPs)

4. Disable unnecessary services and ports on affected systems

5. Implement command execution monitoring and logging



DETECTION RULES:

1. Monitor for suspicious command patterns in MSC logs: backticks, $(), pipe characters, semicolons in unexpected contexts

2. Alert on any OS command execution originating from MSC interfaces

3. Track failed authentication attempts and unusual API calls to MSC endpoints

4. Monitor system process creation from MSC service accounts for anomalous behavior

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. حدد جميع أنظمة Nuvation Energy Multi-Stack Controller (MSC) في بيئتك وقم بتوثيق إصدارات البرامج الثابتة الحالية

2. عزل الأنظمة المتأثرة عن الشبكات غير الموثوقة فوراً إذا كان الإصدار أقل من 2.5.1

3. تطبيق تقسيم الشبكة لتقييد الوصول إلى أنظمة MSC للموظفين المصرح لهم فقط

إرشادات التصحيح:

1. ترقية جميع أنظمة Multi-Stack Controller المتأثرة إلى الإصدار 2.5.1 أو أحدث

2. اتبع إجراءات الترقية الرسمية من Nuvation Energy لضمان نشر البرامج الثابتة الآمن

3. اختبر التصحيحات في بيئات غير الإنتاج أولاً

4. جدول نوافذ الصيانة لتحديثات الأنظمة الإنتاجية

الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكناً):

1. تطبيق التحقق الصارم من المدخلات والتطهير على جميع الواجهات التي تتواصل مع MSC

2. نشر قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن الأوامر

3. تقييد الوصول إلى شبكة أنظمة MSC باستخدام قواعد جدار الحماية (قائمة بيضاء للعناوين المصرح بها فقط)

4. تعطيل الخدمات والمنافذ غير الضرورية على الأنظمة المتأثرة

5. تطبيق المراقبة والتسجيل لتنفيذ الأوامر

قواعد الكشف:

1. مراقبة أنماط الأوامر المريبة في سجلات MSC: علامات الاقتباس العكسية، $()، أحرف الأنابيب، الفواصل المنقوطة في السياقات غير المتوقعة

2. تنبيه عند أي تنفيذ أوامر نظام التشغيل من واجهات MSC

3. تتبع محاولات المصادقة الفاشلة والاستدعاءات غير العادية لنقاط نهاية MSC

4. مراقبة إنشاء عمليات النظام من حسابات خدمة MSC للسلوك الشاذ

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.14.2.1 - Secure development policy ECC 2024 A.12.2.1 - Monitoring and logging of access ECC 2024 A.13.1.3 - Segregation of networks

🔵 SAMA CSF

SAMA CSF ID.BE-5 - Organizational resilience SAMA CSF PR.AC-1 - Access control policy SAMA CSF PR.IP-12 - Software security SAMA CSF DE.CM-1 - System monitoring

🟡 ISO 27001:2022

ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities ISO 27001:2022 A.14.2.1 - Secure development policy ISO 27001:2022 A.13.1.3 - Segregation of networks ISO 27001:2022 A.12.2.1 - User access logging

🔗 المراجع والمصادر 1

🔗

https://www.dragos.com/community/advisories/CVE-2025-64119

ot-cert@dragos.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

nuvationenergy:nplatform

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-78

EPSS0.25%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-03

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

8.9

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

CWE-78

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2025-64124

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب