Name: 【Security Advisory】Sungrow Logger1000A/B has a weak password vulnerability (CVE-2025-4534)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow Logger1000A/B has a weak password vulnerability (CVE-2025-4534)

【Sicherheitsberatung】Sungrow iSolarCloud Android-App – Ignorierte Zertifikatsvalidierungsschwachstelle (CVE-2024-50691)

Veröffentlichungsdatum: 20241230

Produkt: iSolarCloud Android App
CVE-ID:CVE-2024-50691Schweregrad:Mittel

Datum:20241230

Beschreibung

Die iSolarCloud Android-App ignoriert ausdrücklich SSL/TLS-Zertifikatsvalidierungsfehler, was sie anfällig für Man-in-the-Middle-Angriffe (MitM) macht. Ein Angreifer könnte den iSolarCloud-Server nachahmen, die Kommunikation zwischen der mobilen App und der Cloud abfangen oder modifizieren, was möglicherweise zu unbefugtem Zugriff oder Datenmanipulation führt.

Betroffene Versionen

Verletzlich: Alle Versionen V2.1.6.20241104 und früher

Nicht betroffen: V2.1.6.20241115 und später

Sicherheitsbewertung

CVE-2024-50691: 6.5 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N)

Die Bewertung basiert auf dem CVSS 3.1-Standard. Die Bewertungskriterien können unter

（https://www.first.org/cvss/calculator/3.1）

Minderung und Sanierung

Empfohlene Maßnahme:Kunden sollten das aktualisiereniSolarCloud Android App zur neuesten Version über den offiziellen App Store.

Patch-Release:Jetzt verfügbar.

Vorübergehende Lösung:Benutzer sollten es vermeiden, sich mit öffentlichen oder nicht vertrauenswürdigen Wi-Fi-Netzwerken zu verbinden, wenn sie die iSolarCloud-App verwenden.

Nutzungsstatus

Keine bekannte Ausnutzung in freier Wildbahn.

Danksagungen

Diese Schwachstelle wurde entdeckt und gemeldet von Forescout Technologies.

Erklärung

Alle Software-Updates, Patches und Dokumentationen, die von der Sungrow Power Supply Co., Ltd. bereitgestellt werden, sind das Eigentumswerk von Sungrow. Diese Materialien dürfen nur für Produktwartung und Sicherheitsverbesserungen verwendet werden. Jede unbefugte Modifikation, Verteilung, Dekompilierung oder Reverse Engineering ist strengstens untersagt.

Sungrow gibt keine ausdrücklichen oder stillschweigenden Garantien bezüglich der bereitgestellten Informationen, einschließlich, aber nicht beschränkt auf Garantien der Handelsüblichkeit, Eignung für einen bestimmten Zweck oder Nichtverletzung. Sungrow haftet nicht für direkte, indirekte, zufällige oder Folgeschäden, die aus der Verwendung dieses Dokuments oder der zugehörigen Software entstehen.

Sungrow behält sich das Recht vor, dieses Dokument jederzeit ohne vorherige Ankündigung zu aktualisieren oder zu ändern. Kunden sind dafür verantwortlich, Sicherheitsupdates zeitnah zu implementieren, um ihre Systeme zu schützen.