【Bezpečnostní upozornění】Sungrow iSolarCloud – Nezabezpečené přímé reference na objekty (IDOR) v orgService API (CVE-2024-50689)
Datum publikace: 20241230
Produkt: iSolarCloud
CVE identifikátor: CVE-2024-50689
Závažnost:Vysoká
Datum:30.12.2024
Fotovoltaický měnič
Systém ukládání energie
Nabíječka elektromobilů
Plovoucí fotovoltaický systém
Inteligentní energetické produkty
Popis
API iSolarCloud orgService je zranitelné vůči Insecure Direct Object References (IDOR). Útočníci mohou tuto chybu zneužít k přístupu a úpravám organizačních dat bez řádného ověření, což může vést k neoprávněným úpravám nastavení v celé organizaci, odhalení citlivých obchodních dat a narušení služeb.
Ovlivněné verze
Zranitelný:Chyba zabezpečení iSolarCloud commonService, která byla napravena 31. října 2024, vystavila systém bezpečnostním rizikům před jejím zmírněním.
Nepostiženo:Zranitelnost iSolarCloud commonService, která byla odstraněna 31. října 2024, nepředstavovala od svého vyřešení žádné riziko pro systém.
Hodnocení zranitelnosti
CVE-2024-50689: 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)
Hodnocení je založeno na standardu CVSS 3.1. Kritéria hodnocení lze najít na
Zmírnění a náprava
Doporučená akce:iSolarCloud byl upgradován a opraven 31. října 2024 bez zásahu zákazníka.
Vydání opravy:N/A.
Dočasné řešení:N/A.
Stav využití
V přírodě nejsou známé žádné exploity.
Poděkování
Tato zranitelnost byla objevena a nahlášenaTechnologie Forescout.
Prohlášení
Všechny aktualizace softwaru, záplaty a dokumentace poskytnuté společností Sungrow Power Supply Co., Ltd. jsou výhradním dílem společnosti Sungrow. Tyto materiály mohou být použity pouze pro údržbu produktu a zlepšení zabezpečení. Jakákoli neautorizovaná modifikace, distribuce, dekompilace nebo zpětné inženýrství je přísně zakázána.
Sungrow neposkytuje žádné výslovné nebo předpokládané záruky týkající se poskytnutých informací, včetně, ale nejen, záruk prodejnosti, vhodnosti pro konkrétní účel nebo neporušení práv. Sungrow nebude odpovědný za žádné přímé, nepřímé, náhodné nebo následné škody vzniklé použitím tohoto dokumentu nebo souvisejícího software.
Sungrow si vyhrazuje právo aktualizovat nebo upravovat tento dokument kdykoli bez předchozího upozornění. Zákazníci jsou zodpovědní za včasnou implementaci bezpečnostních aktualizací k ochraně svých systémů.