Name: 【Security Advisory】Sungrow Logger1000A/B has a weak password vulnerability (CVE-2025-4534)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow Logger1000A/B has a weak password vulnerability (CVE-2025-4534)

【Aviso de Segurança】Aplicativo Android iSolarCloud da Sungrow – Vulnerabilidade de Validação de Certificado Ignorada (CVE-2024-50691)

Data de Publicação: 20241230

Produto: Aplicativo Android iSolarCloud
ID do CVE: CVE-2024-50691
Severidade:Médio

Data: 30 de dezembro de 2024

Descrição

O aplicativo Android iSolarCloud ignora explicitamente erros de validação de certificado SSL/TLS, tornando-o vulnerável a ataques Man-in-the-Middle (MitM). Um atacante poderia se passar pelo servidor iSolarCloud, interceptando ou modificando comunicações entre o aplicativo móvel e a nuvem, potencialmente levando a acesso não autorizado ou manipulação de dados.

Versões Afetadas

Vulnerável:Todas as versões V2.1.6.20241104 e anteriores

Não Afetado:V2.1.6.20241115 e posterior

Classificação de Vulnerabilidade

CVE-2024-50691: 6.5 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N)

A pontuação é baseada no padrão CVSS 3.1. Os critérios de pontuação podem ser consultados em

(https://www.first.org/cvss/calculator/3.1)

Mitigação e Remediação

Ação Recomendada: Os clientes devem atualizar o iSolarCloud Android App para a versão mais recente através da loja de aplicativos oficial.

Liberação de Correção: Disponível agora.

Correção Temporária: Os usuários devem evitar conectar-se a redes Wi-Fi públicas ou não confiáveis ao usar o aplicativo iSolarCloud.

Status de Exploração

Nenhuma exploração conhecida na natureza.

Agradecimentos

Esta vulnerabilidade foi descoberta e relatada por Forescout Technologies.

Declaração

Todas as atualizações de software, patches e documentação fornecidos pela Sungrow Power Supply Co., Ltd. são trabalhos proprietários da Sungrow. Esses materiais só podem ser usados para manutenção do produto e melhorias de segurança. Qualquer modificação não autorizada, distribuição, descompilação ou engenharia reversa é estritamente proibida.

A Sungrow não oferece garantias expressas ou implícitas em relação às informações fornecidas, incluindo, mas não se limitando a, garantias de comercialização, adequação a um propósito específico ou não violação. A Sungrow não será responsável por quaisquer danos diretos, indiretos, incidentais ou consequentes decorrentes do uso deste documento ou software associado.

A Sungrow reserva-se o direito de atualizar ou modificar este documento a qualquer momento, sem aviso prévio. Os clientes são responsáveis por implementar atualizações de segurança de maneira oportuna para proteger seus sistemas.

Política de Privacidade Aviso Legal Política de Cookies