Name: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)

Заглавие: 【Съвет за сигурност】Sungrow iSolarCloud Android APP – Уязвимост на хардкод MQTT идентификационни данни (CVE-2024-50688)

Дата на публикуване: 20241230

Продукт:Приложение за Android iSolarCloud & Облачни услугиИдентификатор на CVE: CVE-2024-50688
Степен на сериозност:Среден

Дата:30.12.2024

Описание

Приложението за Android iSolarCloud и облачните услуги използват твърдо кодирани идентификационни данни на MQTT за обмен на телеметрия на устройствата. Тази уязвимост може да позволи на атакуващ да прихване и манипулира комуникацията между устройствата на Sungrow и платформата iSolarCloud, което потенциално може да доведе до неоторизиран достъп до данни или контрол върху телеметрията на устройствата.

Засегнати версии

Уязвим: Всички версии V2.1.6.20241017 и по-ранни

Не е повлияно:V2.1.6.20241104 и по-нови

Рейтинг на уязвимостта

CVE-2024-50688：5.3（AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N）

Резултатът се базира на стандарта CVSS 3.1. Критериите за оценка могат да бъдат препратени на

（https://www.first.org/cvss/calculator/3.1）

Намаляване и отстраняване

Препоръчително действие:Клиентите трябва да актуализират Приложение iSolarCloud за Androidдо последната версия чрез официалния магазин за приложения.

Издаване на пач: Налично сега.

Временно решение: Ограничете достъпа от външната мрежа до MQTT брокери, докато не се приложи надстройката.

Статус на експлоатация

Няма известна експлоатация в дивата природа.

Благодарности

Тази уязвимост е открита и докладвана от Forescout Technologies.

Изявление

Всички софтуерни актуализации, кръпки и документация, предоставени от Sungrow Power Supply Co., Ltd., са собственост на Sungrow. Тези материали могат да се използват само за поддръжка на продукта и подобрения на сигурността. Всяка неупълномощена модификация, разпространение, декомпилация или обратно инженерство е строго забранена.

Sungrow не дава изрични или подразбиращи се гаранции относно предоставената информация, включително, но не само, гаранции за продаваемост, годност за определена цел или ненарушаване на права. Sungrow няма да носи отговорност за преки, косвени, случайни или последващи щети, възникнали от използването на този документ или свързан софтуер.

Sungrow си запазва правото да актуализира или променя този документ по всяко време без предварително уведомление. Клиентите са отговорни за прилагането на актуализации за сигурност навреме, за да защитят системите си.

Продукти и решения

Решения за дома Решения за бизнеса Решения за утилитарен мащаб PV инвертор Система за енергийно съхранение Плаваща фотоволтаична система Интелигентни енергийни продукти EV зарядно устройство

Партньори

Sungrow за инсталатори Sungrow за дистрибутори

Обслужване и поддръжка

Sungrow Обслужване Истории за услуги Поддръжка на инсталатори За домашна поддръжка За бизнес поддръжка Документация за продукт Случаи и истории ЧЗВ Гаранция Реакция при инциденти със сигурността

Устойчивост

Общ преглед Стратегия за устойчивост Доклади и политики

За нас

История на марката Технология и иновации Глобализация Lean Manufacturing Новини и медии Кариера Фондация Sungrow Блог Свържете се със Сънгроу

Политика за поверителност Отказ от отговорност Политика за бисквитки Общи условия