【Aviso de Segurança】Sungrow iSolarCloud – Referências Diretas de Objetos Inseguras (IDOR) na API orgService (CVE-2024-50689)
Data de Publicação: 20241230
Produto:iSolarCloud
ID do CVE: CVE-2024-50689
Severidade: Alto
Data: 30 de dezembro de 2024
Inversor Fotovoltaico
Sistema de Armazenamento de Energia
Produtos de Energia Inteligente
Descrição
A API orgService do iSolarCloud é vulnerável a Referências Diretas a Objetos Inseguras (IDOR). Atacantes podem explorar essa questão para acessar e modificar dados organizacionais sem autenticação adequada, potencialmente levando a modificações não autorizadas de configurações em toda a organização, exposição de dados empresariais sensíveis e interrupção de serviços.
Versões Afetadas
Vulnerável:A vulnerabilidade commonService do iSolarCloud, que foi remediada em 31 de outubro de 2024, expôs o sistema a riscos de segurança antes de sua mitigação.
Não Afetado:A vulnerabilidade do serviço comum iSolarCloud, que foi remediada em 31 de outubro de 2024, não representou risco para o sistema desde sua resolução.
Classificação de Vulnerabilidade
CVE-2024-50689:8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)
A pontuação é baseada no padrão CVSS 3.1. Os critérios de pontuação podem ser consultados em
Mitigação e Remediação
Ação Recomendada:O iSolarCloud foi atualizado e reparado em 31 de outubro de 2024 sem ação do cliente.
Liberação de Correção:N/A.
Correção Temporária:N/A.
Status de Exploração
Nenhuma exploração conhecida na natureza.
Agradecimentos
Esta vulnerabilidade foi descoberta e relatada por Forescout Technologies.
Declaração
Todas as atualizações de software, patches e documentação fornecidos pela Sungrow Power Supply Co., Ltd. são trabalhos proprietários da Sungrow. Esses materiais só podem ser usados para manutenção do produto e melhorias de segurança. Qualquer modificação não autorizada, distribuição, descompilação ou engenharia reversa é estritamente proibida.
A Sungrow não oferece garantias expressas ou implícitas em relação às informações fornecidas, incluindo, mas não se limitando a, garantias de comercialização, adequação a um propósito específico ou não violação. A Sungrow não será responsável por quaisquer danos diretos, indiretos, incidentais ou consequentes decorrentes do uso deste documento ou software associado.
A Sungrow reserva-se o direito de atualizar ou modificar este documento a qualquer momento, sem aviso prévio. Os clientes são responsáveis por implementar atualizações de segurança de maneira oportuna para proteger seus sistemas.