Name: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)

Název：【Bezpečnostní upozornění】Sungrow iSolarCloud Android APP – Zranitelnost s pevně zakódovanými přihlašovacími údaji MQTT (CVE-2024-50688)

Datum publikace: 20241230

Produkt: iSolarCloud Android App & Cloudové služby
CVE identifikátor:CVE-2024-50688Závažnost:Střední

Datum:30.12.2024

Popis

Aplikace iSolarCloud pro Android a cloudové služby používají pevně zakódované přihlašovací údaje MQTT pro výměnu telemetrie zařízení. Tato zranitelnost by mohla umožnit útočníkovi zachytit a manipulovat s komunikací mezi zařízeními Sungrow a platformou iSolarCloud, což by mohlo vést k neoprávněnému přístupu k datům nebo kontrole nad telemetrií zařízení.

Ovlivněné verze

Zranitelný:Všechny verze V2.1.6.20241017 a starší

Nepostiženo: V2.1.6.20241104 a pozdější

Hodnocení zranitelnosti

CVE-2024-50688: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

Hodnocení je založeno na standardu CVSS 3.1. Kritéria hodnocení lze najít na

（https://www.first.org/cvss/calculator/3.1）

Zmírnění a náprava

Doporučená akce:Zákazníci by měli aktualizovat Aplikace iSolarCloud pro Android k nejnovější verzi prostřednictvím oficiálního obchodu s aplikacemi.

Vydání opravy:Dostupné nyní.

Dočasné řešení:Omezit přístup k externí síti pro MQTT brokery až do aplikování aktualizace.

Stav využití

V přírodě nejsou známé žádné exploity.

Poděkování

Tato zranitelnost byla objevena a nahlášenaTechnologie Forescout.

Prohlášení

Všechny aktualizace softwaru, záplaty a dokumentace poskytnuté společností Sungrow Power Supply Co., Ltd. jsou výhradním dílem společnosti Sungrow. Tyto materiály mohou být použity pouze pro údržbu produktu a zlepšení zabezpečení. Jakákoli neautorizovaná modifikace, distribuce, dekompilace nebo zpětné inženýrství je přísně zakázána.

Sungrow neposkytuje žádné výslovné nebo předpokládané záruky týkající se poskytnutých informací, včetně, ale nejen, záruk prodejnosti, vhodnosti pro konkrétní účel nebo neporušení práv. Sungrow nebude odpovědný za žádné přímé, nepřímé, náhodné nebo následné škody vzniklé použitím tohoto dokumentu nebo souvisejícího software.

Sungrow si vyhrazuje právo aktualizovat nebo upravovat tento dokument kdykoli bez předchozího upozornění. Zákazníci jsou zodpovědní za včasnou implementaci bezpečnostních aktualizací k ochraně svých systémů.