Name: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)

Titel: 【Sikkerhedsadvarsel】Sungrow iSolarCloud Android APP – Hardkodet MQTT Legitimationsoplysninger Sårbarhed (CVE-2024-50688)

Udgivelsesdato: 20241230

Produkt: iSolarCloud Android App & Cloud Tjenester
CVE-ID: CVE-2024-50688
Alvorlighed:Middel

Dato: 30.12.2024

Beskrivelse

iSolarCloud Android-applikationen og cloud-tjenesterne bruger hardkodede MQTT-legitimationsoplysninger til udveksling af enhedstelemetri. Denne sårbarhed kunne tillade en angriber at aflytte og manipulere kommunikationen mellem Sungrow-enheder og iSolarCloud-platformen, hvilket potentielt kan føre til uautoriseret dataadgang eller kontrol over enhedstelemetri.

Berørte Versioner

Sårbar: Alle versioner V2.1.6.20241017 og tidligere

Ikke Påvirket: V2.1.6.20241104 og senere

Sårbarhedsvurdering

CVE-2024-50688：5.3（AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N）

Scoringen er baseret på CVSS 3.1-standarden. Scoringkriterierne kan henvises til på

（https://www.first.org/cvss/calculator/3.1)

Afbøjning og Genopretning

Anbefalet handling:Kunder bør opdatere iSolarCloud Android-app til den seneste version via den officielle app-butik.

Patch udgivelse:Tilgængelig nu.

Midlertidig løsning:Begræns ekstern netværksadgang til MQTT-mæglere, indtil opgraderingen er anvendt.

Udnyttelsesstatus

Ingen kendt udnyttelse i naturen.

BEMÆRKNINGER

Denne sårbarhed blev opdaget og rapporteret af Forescout Technologies.

Erklæring

Alle softwareopdateringer, patches og dokumentation leveret af Sungrow Power Supply Co., Ltd. er Sungrows ejendomsret. Disse materialer må kun bruges til produktvedligeholdelse og sikkerhedsforbedringer. Enhver uautoriseret ændring, distribution, dekompilering eller omvendt ingeniørarbejde er strengt forbudt.

Sungrow giver ingen udtrykkelige eller underforståede garantier vedrørende de oplysninger, der er givet, herunder men ikke begrænset til garantier for salgbarhed, egnethed til et bestemt formål eller ikke-krænkelse. Sungrow skal ikke være ansvarlig for nogen direkte, indirekte, utilsigtede eller følgeskader, der opstår som følge af brugen af dette dokument eller tilhørende software.

Sungrow forbeholder sig retten til at opdatere eller ændre dette dokument til enhver tid uden forudgående meddelelse. Kunder er ansvarlige for at implementere sikkerhedsopdateringer rettidigt for at beskytte deres systemer.