【安全通告】Sungrow iSolarCloud – orgService API 中存在不安全直接对象引用(IDOR)漏洞(CVE-2024-50689)
发布日期:2024年12月30日
产品:iSolarCloudCVE ID: CVE-2024-50689
严重程度: 高
日期: 20241230
描述
iSolarCloud orgService API 存在不安全的直接对象引用(IDOR)漏洞。攻击者可以利用此问题在未正确认证的情况下访问和修改组织数据,可能导致对组织级设置的未授权修改、敏感业务数据泄露以及服务中断。
受影响的版本
存在漏洞:iSolarCloud commonService 漏洞已于 2024年10月31日修复,在修复之前该漏洞使系统面临安全风险。
不受影响: iSolarCloud commonService 漏洞已于 2024年10月31日修复,自修复以来未对系统构成风险。
漏洞等级
CVE-2024-50689:8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)
评分基于 CVSS 3.1 标准。评分标准可参考
缓解与修复
建议措施: iSolarCloud 已于2024年10月31日升级和修复,客户无需任何操作。
补丁发布:不适用。
临时修复:不适用。
开发状态
未发现已知的野外利用。
致谢
此漏洞由 Forescout科技.
声明
阳光电源股份有限公司提供的所有软件更新、补丁和文档均为阳光电源的专有作品。这些资料仅可用于产品维护和安全改进。严禁任何未经授权的修改、分发、反编译或逆向工程。
Sungrow 对所提供信息不作任何明示或默示保证,包括但不限于对适销性、特定用途适用性或不侵权的保证。对于因使用本文件或相关软件而产生的任何直接、间接、附带或后果性损害,Sungrow 概不负责。
阳光电源保留在不事先通知的情况下随时更新或修改本文档的权利。客户有责任及时实施安全更新,以保护其系统。