Name: 【Security Advisory】Sungrow Logger1000A/B has a weak password vulnerability (CVE-2025-4534)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow Logger1000A/B has a weak password vulnerability (CVE-2025-4534)

【Bezpečnostní upozornění】Sungrow iSolarCloud Android aplikace – Ignorovaná zranitelnost ověření certifikátu (CVE-2024-50691)

Datum publikace: 20241230

Produkt: iSolarCloud Android aplikace
CVE identifikátor:CVE-2024-50691Závažnost:Střední

Datum:30.12.2024

Popis

Aplikace iSolarCloud pro Android výslovně ignoruje chyby ověřování certifikátů SSL/TLS, což ji činí zranitelnou vůči útokům typu Man-in-the-Middle (MitM). Útočník by mohl vydávat se za server iSolarCloud, zachytávat nebo upravovat komunikaci mezi mobilní aplikací a cloudem, což by mohlo vést k neoprávněnému přístupu nebo manipulaci s daty.

Ovlivněné verze

Zranitelný:Všechny verze V2.1.6.20241104 a starší

Nepostiženo:V2.1.6.20241115 a později

Hodnocení zranitelnosti

CVE-2024-50691: 6.5 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N)

Hodnocení je založeno na standardu CVSS 3.1. Kritéria hodnocení lze najít na

（https://www.first.org/cvss/calculator/3.1）

Zmírnění a náprava

Doporučená akce:Zákazníci by měli aktualizovat Aplikace iSolarCloud pro Android k nejnovější verzi prostřednictvím oficiálního obchodu s aplikacemi.

Vydání opravy:Dostupné nyní.

Dočasné řešení: Uživatelé by se měli vyhnout připojení k veřejným nebo nedůvěryhodným Wi-Fi sítím při používání aplikace iSolarCloud.

Stav využití

V přírodě nejsou známé žádné exploity.

Poděkování

Tato zranitelnost byla objevena a nahlášenaTechnologie Forescout.

Prohlášení

Všechny aktualizace softwaru, záplaty a dokumentace poskytnuté společností Sungrow Power Supply Co., Ltd. jsou výhradním dílem společnosti Sungrow. Tyto materiály mohou být použity pouze pro údržbu produktu a zlepšení zabezpečení. Jakákoli neautorizovaná modifikace, distribuce, dekompilace nebo zpětné inženýrství je přísně zakázána.

Sungrow neposkytuje žádné výslovné nebo předpokládané záruky týkající se poskytnutých informací, včetně, ale nejen, záruk prodejnosti, vhodnosti pro konkrétní účel nebo neporušení práv. Sungrow nebude odpovědný za žádné přímé, nepřímé, náhodné nebo následné škody vzniklé použitím tohoto dokumentu nebo souvisejícího software.

Sungrow si vyhrazuje právo aktualizovat nebo upravovat tento dokument kdykoli bez předchozího upozornění. Zákazníci jsou zodpovědní za včasnou implementaci bezpečnostních aktualizací k ochraně svých systémů.