Name: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )
Brand: Sungrow
SKU: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )

【Sikkerhedsadvarsel】MQTT-implementering i Sungrow iSolarCloud tillod brugere at abonnere på inverterdata (CVE-2025-29756)

Udgivelsesdato: 20250710

Produkt: iSolarCloud

CVE-ID: CVE-2025-29756

Alvorlighed: HØJ

Dato: [10. juli 2025]

Beskrivelse

Sungrows back end-brugersystem iSolarCloud bruger en MQTT-tjeneste til at transportere data fra brugerens tilsluttede enheder til brugerens webbrowser.

MQTT-serveren havde imidlertid ikke tilstrækkelige begrænsninger på plads til at begrænse de emner, som en bruger kunne abonnere på.

Et angreb med en konto på iSolarCloud.comkunne udtrække MQTT-legitimationsoplysninger og dekrypteringsnøglen fra browseren og derefter bruge et eksternt program til at abonnere på emnet '#' og dermed modtage alle beskeder fra alle tilsluttede enheder.

Berørte Versioner

Sårbar:iSolarCloud commonService-sårbarheden, som blev afhjulpet den 7. juni 2025, havde udsat systemet for sikkerhedsrisici før dens afhjælpning.

Ikke Påvirket:iSolarCloud commonService-sårbarheden, der blev repareret den 7. juni 2025, har ikke udgjort nogen risiko for systemet siden dens opløsning.

Sårbarhedsvurdering

CVE-2025-29756:8.4 (/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:C）

Scoringen er baseret på CVSS 4.0-standarden. Scoringkriterierne kan henvises til på

（https://www.first.org/cvss/calculator/4.0)

Afbøjning og Genopretning

Anbefalet handling: iSolarCloud er blevet opgraderet og repareret den 7. juni 2025 uden kundehandling.

Patch udgivelse:Ikke tilgængelig.

Midlertidig løsning:Ikke tilgængelig.

Udnyttelsesstatus

Ingen kendt udnyttelse i naturen.

BEMÆRKNINGER

Denne sårbarhed blev opdaget og rapporteret af Harm van den Brink fra DIVD.

Erklæring

Alle softwareopdateringer, patches og dokumentation leveret af Sungrow Power Supply Co., Ltd. er Sungrows ejendomsret. Disse materialer må kun bruges til produktvedligeholdelse og sikkerhedsforbedringer. Enhver uautoriseret ændring, distribution, dekompilering eller omvendt ingeniørarbejde er strengt forbudt.

Sungrow giver ingen udtrykkelige eller underforståede garantier vedrørende de oplysninger, der er givet, herunder men ikke begrænset til garantier for salgbarhed, egnethed til et bestemt formål eller ikke-krænkelse. Sungrow skal ikke være ansvarlig for nogen direkte, indirekte, utilsigtede eller følgeskader, der opstår som følge af brugen af dette dokument eller tilhørende software.

Sungrow forbeholder sig retten til at opdatere eller ændre dette dokument til enhver tid uden forudgående meddelelse. Kunder er ansvarlige for at implementere sikkerhedsopdateringer rettidigt for at beskytte deres systemer.