【安全公告】阳光电源 iSolarCloud 安卓应用——弱加密密钥漏洞（CVE-2024-50684）

Name: 【Security Advisory】Sungrow iSolarCloud Android App – Weak Encryption Key Vulnerability (CVE-2024-50684)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android App – Weak Encryption Key Vulnerability (CVE-2024-50684)

产品： iSolarCloud 安卓应用
CVE ID： CVE-2024-50684
严重程度：中

日期： 20241230

描述

iSolarCloud Android 应用使用了不安全的 AES 加密密钥，熵值不足，容易受到密码学攻击。攻击者若能访问加密通信，可能能够解密截获的数据，从而暴露敏感的用户信息。

受影响的版本

存在漏洞：所有版本 V2.1.6.20241017 及之前版本

不受影响： V2.1.6.20241104 and later

漏洞等级

CVE-2024-50684：6.5 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N）

评分基于 CVSS 3.1 标准。评分标准可参考

（https://www.first.org/cvss/calculator/3.1）

缓解与修复

建议措施： 客户应更新 iSolarCloud 安卓应用通过官方应用商店更新到最新版本。

补丁发布：现已上市。

临时修复：用户应避免连接到不可信网络，并启用VPN 加密在使用应用时。

开发状态

未发现已知的野外利用。

致谢

此漏洞由 Forescout科技.

声明

阳光电源股份有限公司提供的所有软件更新、补丁和文档均为阳光电源的专有作品。这些资料仅可用于产品维护和安全改进。严禁任何未经授权的修改、分发、反编译或逆向工程。

Sungrow 对所提供信息不作任何明示或默示保证，包括但不限于对适销性、特定用途适用性或不侵权的保证。对于因使用本文件或相关软件而产生的任何直接、间接、附带或后果性损害，Sungrow 概不负责。

阳光电源保留在不事先通知的情况下随时更新或修改本文档的权利。客户有责任及时实施安全更新，以保护其系统。