Name: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )
Brand: Sungrow
SKU: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )

【Bezpečnostní upozornění】Implementace MQTT v Sungrow iSolarCloud umožňovala uživatelům přihlásit se k odběru dat z měničů (CVE-2025-29756)

Datum publikace: 10. července 2025

Produkt: iSolarCloud

CVE ID: CVE-2025-29756

Závažnost: VYSOKÁ

Datum: [20250710]

Popis

Back-endový systém uživatelů Sungrow iSolarCloud využívá službu MQTT k přenosu dat z připojených zařízení uživatele do webového prohlížeče uživatele.

MQTT server však neměl dostatečná omezení na místě, aby omezil témata, k nimž se uživatel mohl přihlásit.

Útok s účtem naiSolarCloud.commohl by získat přihlašovací údaje MQTT a dešifrovací klíč z prohlížeče a poté použít externí program k odběru tématu '#' a tak přijímat všechny zprávy ze všech připojených zařízení.

Ovlivněné verze

Zranitelný:Zranitelnost iSolarCloud commonService, která byla opravena 7. června 2025, před svým zmírněním vystavila systém bezpečnostním rizikům.

Nepostiženo:Zranitelnost iSolarCloud commonService, která byla odstraněna 7. června 2025, nepředstavovala od svého vyřešení žádné riziko pro systém.

Hodnocení zranitelnosti

CVE-2025-29756:8.4 (/Útokový vektor:Síť/Úroveň složitosti:Nízká/Taktika útoku:Není/Povinnosti:Uživatel/Uživatelské rozhraní:Není/Dopad na důvěrnost:Vysoký/Dopad na integritu:Není/Dopad na dostupnost:Není/Důvěrnost systému:Vysoká/Integrita systému:Není/Dostupnost systému:Není/Autorizace:Ano/Verze:C)

Hodnocení je založeno na standardu CVSS 4.0. Kritéria hodnocení lze nalézt na

（https://www.first.org/cvss/calculator/4.0）

Zmírnění a náprava

Doporučená akce:iSolarCloud byl aktualizován a opraven 7. června 2025 bez nutnosti zásahu zákazníka.

Vydání opravy:N/A.

Dočasné řešení:N/A.

Stav využití

V přírodě nejsou známé žádné exploity.

Poděkování

Tato zranitelnost byla objevena a nahlášenaHarm van den Brink z DIVD.

Prohlášení

Všechny aktualizace softwaru, záplaty a dokumentace poskytnuté společností Sungrow Power Supply Co., Ltd. jsou výhradním dílem společnosti Sungrow. Tyto materiály mohou být použity pouze pro údržbu produktu a zlepšení zabezpečení. Jakákoli neautorizovaná modifikace, distribuce, dekompilace nebo zpětné inženýrství je přísně zakázána.

Sungrow neposkytuje žádné výslovné nebo předpokládané záruky týkající se poskytnutých informací, včetně, ale nejen, záruk prodejnosti, vhodnosti pro konkrétní účel nebo neporušení práv. Sungrow nebude odpovědný za žádné přímé, nepřímé, náhodné nebo následné škody vzniklé použitím tohoto dokumentu nebo souvisejícího software.

Sungrow si vyhrazuje právo aktualizovat nebo upravovat tento dokument kdykoli bez předchozího upozornění. Zákazníci jsou zodpovědní za včasnou implementaci bezpečnostních aktualizací k ochraně svých systémů.