Name: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)

【Sikkerhedsmeddelelse】Sungrow iSolarCloud – Usikre direkte objekthenvisninger (IDOR) i orgService API (CVE-2024-50689)

Udgivelsesdato: 20241230

Produkt: iSolarCloud
CVE-ID: CVE-2024-50689
Alvorlighed:Høj

Dato: 30.12.2024

Beskrivelse

iSolarCloud orgService API er sårbar over for usikre direkte objektreferencer (IDOR). Angribere kan udnytte dette problem til at få adgang til og ændre organisatoriske data uden korrekt godkendelse, hvilket potentielt kan føre til uautoriseret ændring af organisationens indstillinger, udsættelse af følsomme forretningsdata og forstyrrelse af tjenester.

Berørte Versioner

Sårbar: iSolarCloud commonService-sårbarheden, som blev repareret den 31. oktober 2024, havde udsat systemet for sikkerhedsrisici før dens afhjælpning.

Ikke Påvirket:iSolarCloud commonService-sårbarheden, som blev afhjulpet den 31. oktober 2024, har ikke udgjort nogen risiko for systemet siden dens opløsning.

Sårbarhedsvurdering

CVE-2024-50689：8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N）

Scoringen er baseret på CVSS 3.1-standarden. Scoringkriterierne kan henvises til på

（https://www.first.org/cvss/calculator/3.1)

Afbøjning og Genopretning

Anbefalet handling:iSolarCloud er blevet opgraderet og repareret den 31. oktober 2024 uden kundehandling.

Patch udgivelse:Ikke tilgængelig.

Midlertidig løsning:Ikke tilgængelig.

Udnyttelsesstatus

Ingen kendt udnyttelse i naturen.

BEMÆRKNINGER

Denne sårbarhed blev opdaget og rapporteret af Forescout Technologies.

Erklæring

Alle softwareopdateringer, patches og dokumentation leveret af Sungrow Power Supply Co., Ltd. er Sungrows ejendomsret. Disse materialer må kun bruges til produktvedligeholdelse og sikkerhedsforbedringer. Enhver uautoriseret ændring, distribution, dekompilering eller omvendt ingeniørarbejde er strengt forbudt.

Sungrow giver ingen udtrykkelige eller underforståede garantier vedrørende de oplysninger, der er givet, herunder men ikke begrænset til garantier for salgbarhed, egnethed til et bestemt formål eller ikke-krænkelse. Sungrow skal ikke være ansvarlig for nogen direkte, indirekte, utilsigtede eller følgeskader, der opstår som følge af brugen af dette dokument eller tilhørende software.

Sungrow forbeholder sig retten til at opdatere eller ændre dette dokument til enhver tid uden forudgående meddelelse. Kunder er ansvarlige for at implementere sikkerhedsopdateringer rettidigt for at beskytte deres systemer.