Sungrow Logo

Sungrow iSolarCloud Android-app – Hårdkodede MQTT-legitimationsoplysninger sårbarhed

Udgivelsesdato 2025-03-27

iSolarCloud Android-applikationen og cloud-tjenesterne bruger hardkodede MQTT-legitimationsoplysninger til udveksling af enhedstelemetri. Denne sårbarhed kunne tillade en angriber at aflytte og manipulere kommunikationen mellem Sungrow-enheder og iSolarCloud-platformen, hvilket potentielt kan føre til uautoriseret dataadgang eller kontrol over enhedstelemetri.

Berørte Versioner

Vi Sårbare:  Alle versioner V2.1.6.20241017 og tidligereIkke påvirket: V2.1.6.2024-11-04 og senere

Sårbarhedsvurdering

CVE-2024-50688: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
Scoringen er baseret på CVSS 3.1-standarden. Scoringkriterierne kan findes på (https://www.first.org/cvss/calculator/3.1)

Afbøjning og Genopretning

Anbefalet handling: Kunder bør opdatere iSolarCloud Android-appen til den nyeste version via den officielle appbutik.
Patch Udgivelse: Tilgængelig nu.
Midlertidig løsning: Begræns eksternt netværksadgang til MQTT-mæglere, indtil opgraderingen er anvendt.

Udnyttelsesstatus

Ingen kendt udnyttelse i naturen.

BEMÆRKNINGER

Denne sårbarhed blev opdaget og rapporteret af Forescout Technologies.

Erklæring

Alle softwareopdateringer, patches og dokumentation leveret af Sungrow Power Supply Co., Ltd. er Sungrows ejendomsret. Disse materialer må kun bruges til produktvedligeholdelse og sikkerhedsforbedringer. Enhver uautoriseret ændring, distribution, dekompilering eller reverse engineering er strengt forbudt.

Sungrow giver ingen udtrykkelige eller underforståede garantier vedrørende de oplysninger, der gives, herunder men ikke begrænset til garantier for salgbarhed, egnethed til et bestemt formål eller ikke-krænkelse. Sungrow er ikke ansvarlig for eventuelle direkte, indirekte, tilfældige eller følgeskader, der opstår fra brugen af dette dokument eller tilhørende software.

Sungrow forbeholder sig retten til at opdatere eller ændre dette dokument til enhver tid uden forudgående meddelelse. Kunder er ansvarlige for at implementere sikkerhedsopdateringer rettidigt for at beskytte deres systemer.