Name: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)

【Veiligheidsadvies】Sungrow iSolarCloud – Onveilige Directe Object Referenties (IDOR) in orgService API (CVE-2024-50689)

Publicatiedatum: 20241230

Product: iSolarCloud
CVE ID: CVE-2024-50689
Ernst: Hoog

Datum:30-12-2024

Beschrijving

De iSolarCloud orgService API is kwetsbaar voor Insecure Direct Object References (IDOR). Aanvallers kunnen dit probleem uitbuiten om organisatiegegevens zonder juiste authenticatie te openen en te wijzigen, wat mogelijk kan leiden tot ongeoorloofde wijzigingen van organisatiebrede instellingen, blootstelling van gevoelige bedrijfsgegevens en verstoring van diensten.

Aangetaste versies

Kwetsbaar:De kwetsbaarheid in de iSolarCloud commonService, die op 31 oktober 2024 is hersteld, had het systeem blootgesteld aan beveiligingsrisico's voordat het werd verholpen.

Niet Beïnvloed:De iSolarCloud commonService kwetsbaarheid, die op 31 oktober 2024 is verholpen, heeft sinds de oplossing geen risico voor het systeem opgeleverd.

Kwetsbaarheidsclassificatie

CVE-2024-50689: 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

De scoring is gebaseerd op de CVSS 3.1 standaard. De scoringscriteria kunnen worden geraadpleegd op

（https://www.first.org/cvss/calculator/3.1）

Mitigatie en Remediatie

Aanbevolen actie:De iSolarCloud is op 31 oktober 2024 geüpgraded en gerepareerd zonder klantactie.

Patch Uitgave:Niet van toepassing.

Tijdelijke Oplossing:Niet van toepassing.

Exploitatiestatus

Geen bekende uitbuiting in het wild.

Erkenningen

Deze kwetsbaarheid werd ontdekt en gerapporteerd door Forescout Technologies.

Verklaring

Alle software-updates, patches en documentatie verstrekt door Sungrow Power Supply Co., Ltd. zijn het eigendom van Sungrow. Deze materialen mogen alleen worden gebruikt voor productonderhoud en beveiligingsverbeteringen. Elke onbevoegde wijziging, distributie, decompilatie of reverse engineering is strikt verboden.

Sungrow geeft geen uitdrukkelijke of stilzwijgende garanties met betrekking tot de verstrekte informatie, inclusief maar niet beperkt tot garanties van verhandelbaarheid, geschiktheid voor een bepaald doel of niet-inbreuk. Sungrow is niet aansprakelijk voor enige directe, indirecte, incidentele of gevolgschade die voortvloeit uit het gebruik van dit document of bijbehorende software.

Sungrow behoudt zich het recht voor om dit document op elk moment bij te werken of te wijzigen zonder voorafgaande kennisgeving. Klanten zijn verantwoordelijk voor het tijdig implementeren van beveiligingsupdates om hun systemen te beschermen.