Name: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )
Brand: Sungrow
SKU: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )

【Beveiligingsadvies】MQTT-implementatie in Sungrow iSolarCloud stond gebruikers toe om zich te abonneren op omvormergegevens (CVE-2025-29756)

Publicatiedatum: 20250710

Product: iSolarCloud

CVE ID: CVE-2025-29756

Ernst: HOOG

Datum: [10 juli 2025]

Beschrijving

Het back-end gebruikerssysteem iSolarCloud van Sungrow gebruikt een MQTT-service om gegevens van de aangesloten apparaten van de gebruiker naar de webbrowser van de gebruiker te transporteren.

De MQTT-server had echter niet voldoende beperkingen om de onderwerpen die een gebruiker kon abonneren te beperken.

Een aanval met een account op iSolarCloud.comkan MQTT-inloggegevens en de decryptiesleutel uit de browser extraheren en vervolgens een extern programma gebruiken om te abonneren op het topic '#' en zo alle berichten van alle verbonden apparaten te ontvangen.

Aangetaste versies

Kwetsbaar:De iSolarCloud commonService kwetsbaarheid, die op 7 juni 2025 werd verholpen, had het systeem blootgesteld aan beveiligingsrisico's vóór de mitigatie.

Niet Beïnvloed:De iSolarCloud commonService kwetsbaarheid, die op 7 juni 2025 is verholpen, heeft sinds de oplossing geen risico voor het systeem gevormd.

Kwetsbaarheidsclassificatie

CVE-2025-29756:8.4 (/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:C）

De scoring is gebaseerd op de CVSS 4.0-standaard. De scoringscriteria kunnen worden geraadpleegd op

（https://www.first.org/cvss/calculator/4.0）

Mitigatie en Remediatie

Aanbevolen actie:De iSolarCloud is op 7 juni 2025 geüpgraded en gerepareerd, zonder actie van de klant.

Patch Uitgave:Niet van toepassing.

Tijdelijke Oplossing:Niet van toepassing.

Exploitatiestatus

Geen bekende uitbuiting in het wild.

Erkenningen

Deze kwetsbaarheid werd ontdekt en gerapporteerd door Harm van den Brink from DIVD.

Verklaring

Alle software-updates, patches en documentatie verstrekt door Sungrow Power Supply Co., Ltd. zijn het eigendom van Sungrow. Deze materialen mogen alleen worden gebruikt voor productonderhoud en beveiligingsverbeteringen. Elke onbevoegde wijziging, distributie, decompilatie of reverse engineering is strikt verboden.

Sungrow geeft geen uitdrukkelijke of stilzwijgende garanties met betrekking tot de verstrekte informatie, inclusief maar niet beperkt tot garanties van verhandelbaarheid, geschiktheid voor een bepaald doel of niet-inbreuk. Sungrow is niet aansprakelijk voor enige directe, indirecte, incidentele of gevolgschade die voortvloeit uit het gebruik van dit document of bijbehorende software.

Sungrow behoudt zich het recht voor om dit document op elk moment bij te werken of te wijzigen zonder voorafgaande kennisgeving. Klanten zijn verantwoordelijk voor het tijdig implementeren van beveiligingsupdates om hun systemen te beschermen.