Name: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )
Brand: Sungrow
SKU: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )

【Advisória de Segurança】A implementação MQTT no Sungrow iSolarCloud permitiu que os usuários se inscrevessem para dados do inversor (CVE-2025-29756)

Data de Publicação: 20250710

Produto: iSolarCloud

ID CVE: CVE-2025-29756

Severidade: ALTA

Data:[10 de julho de 2025]

Descrição

O sistema de usuários back-end da Sungrow, iSolarCloud, usa um serviço MQTT para transportar dados dos dispositivos conectados do usuário para o navegador web do usuário.

O servidor MQTT, no entanto, não tinha restrições suficientes em vigor para limitar os tópicos que um usuário poderia assinar.

Um ataque com uma conta emiSolarCloud.compoderia extrair credenciais MQTT e a chave de descriptografia do navegador e então usar um programa externo para se inscrever no tópico '#' e assim receber todas as mensagens de todos os dispositivos conectados.

Versões Afetadas

Vulnerável:A vulnerabilidade do serviço comum do iSolarCloud, que foi remediada em 7 de junho de 2025, expôs o sistema a riscos de segurança antes da sua mitigação.

Não Afetado:A vulnerabilidade do commonService do iSolarCloud, que foi remediada em 7 de junho de 2025, não apresentou risco para o sistema desde sua resolução.

Classificação de Vulnerabilidade

CVE-2025-29756:8.4 (/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:C）

A pontuação é baseada no padrão CVSS 4.0. Os critérios de pontuação podem ser consultados em

(https://www.first.org/cvss/calculator/4.0)

Mitigação e Remediação

Ação Recomendada:O iSolarCloud foi atualizado e reparado em 7 de junho de 2025, sem ação do cliente.

Liberação de Correção:N/A.

Correção Temporária:N/A.

Status de Exploração

Nenhuma exploração conhecida na natureza.

Agradecimentos

Esta vulnerabilidade foi descoberta e relatada por Harm van den Brink da DIVD.

Declaração

Todas as atualizações de software, patches e documentação fornecidos pela Sungrow Power Supply Co., Ltd. são trabalhos proprietários da Sungrow. Esses materiais só podem ser usados para manutenção do produto e melhorias de segurança. Qualquer modificação não autorizada, distribuição, descompilação ou engenharia reversa é estritamente proibida.

A Sungrow não oferece garantias expressas ou implícitas em relação às informações fornecidas, incluindo, mas não se limitando a, garantias de comercialização, adequação a um propósito específico ou não violação. A Sungrow não será responsável por quaisquer danos diretos, indiretos, incidentais ou consequentes decorrentes do uso deste documento ou software associado.

A Sungrow reserva-se o direito de atualizar ou modificar este documento a qualquer momento, sem aviso prévio. Os clientes são responsáveis por implementar atualizações de segurança de maneira oportuna para proteger seus sistemas.

Política de Privacidade Aviso Legal Política de Cookies