Name: 【Security Advisory】Sungrow Logger1000A/B has a weak password vulnerability (CVE-2025-4534)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow Logger1000A/B has a weak password vulnerability (CVE-2025-4534)

【Beveiligingsadvies】Sungrow iSolarCloud Android-app – Genegeerde Certificaatvalidatie Kwetsbaarheid (CVE-2024-50691)

Publicatiedatum: 20241230

Product: iSolarCloud Android-App
CVE ID: CVE-2024-50691
Ernst:Middelmatig

Datum:30-12-2024

Beschrijving

De iSolarCloud Android-app negeert expliciet SSL/TLS-certificaatvalidatiefouten, waardoor deze kwetsbaar is voor Man-in-the-Middle (MitM)-aanvallen. Een aanvaller kan de iSolarCloud-server nabootsen, communicatie tussen de mobiele app en de cloud onderscheppen of wijzigen, wat mogelijk leidt tot onbevoegde toegang of datamanipulatie.

Aangetaste versies

Kwetsbaar: Alle versies V2.1.6.20241104 en eerder

Niet Beïnvloed: V2.1.6.20241115 en later

Kwetsbaarheidsclassificatie

CVE-2024-50691：6.5（AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N）

De scoring is gebaseerd op de CVSS 3.1 standaard. De scoringscriteria kunnen worden geraadpleegd op

（https://www.first.org/cvss/calculator/3.1）

Mitigatie en Remediatie

Aanbevolen actie:Klanten moeten deiSolarCloud Android App naar de nieuwste versie via de officiële app store.

Patch Uitgave:Nu beschikbaar.

Tijdelijke Oplossing:Gebruikers moeten vermijden verbinding te maken met openbare of niet-vertrouwde Wi-Fi-netwerken bij het gebruik van de iSolarCloud-app.

Exploitatiestatus

Geen bekende uitbuiting in het wild.

Erkenningen

Deze kwetsbaarheid werd ontdekt en gerapporteerd door Forescout Technologies.

Verklaring

Alle software-updates, patches en documentatie verstrekt door Sungrow Power Supply Co., Ltd. zijn het eigendom van Sungrow. Deze materialen mogen alleen worden gebruikt voor productonderhoud en beveiligingsverbeteringen. Elke onbevoegde wijziging, distributie, decompilatie of reverse engineering is strikt verboden.

Sungrow geeft geen uitdrukkelijke of stilzwijgende garanties met betrekking tot de verstrekte informatie, inclusief maar niet beperkt tot garanties van verhandelbaarheid, geschiktheid voor een bepaald doel of niet-inbreuk. Sungrow is niet aansprakelijk voor enige directe, indirecte, incidentele of gevolgschade die voortvloeit uit het gebruik van dit document of bijbehorende software.

Sungrow behoudt zich het recht voor om dit document op elk moment bij te werken of te wijzigen zonder voorafgaande kennisgeving. Klanten zijn verantwoordelijk voor het tijdig implementeren van beveiligingsupdates om hun systemen te beschermen.