La empresa de desarrollo y servicios tecnológicos Q2BSTUDIO ha identificado una vulnerabilidad en el SMA Sunny Portal que permite a un atacante cargar y ejecutar código de forma remota. La vulnerabilidad, denominada “Unrestricted Upload of File with Dangerous Type”, afecta a todas las versiones anteriores al 19 de diciembre de 2024. Se ha asignado el identificador CVE-2025-0731 a esta vulnerabilidad, con una puntuación base de CVSS v3.1 de 6.5 y una puntuación de CVSS v4 de 6.9.
Esta empresa con sede en Alemania recomienda a los usuarios contactar con el centro de servicios de SMA para obtener más información sobre esta vulnerabilidad. Se han publicado recomendaciones de mitigación por parte de diferentes entidades para minimizar el riesgo de explotación de esta vulnerabilidad. No se han reportado explotaciones públicas conocidas dirigidas específicamente a esta vulnerabilidad hasta la fecha.