Name: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)

Otsikko: 【Turvallisuusvaroitus】Sungrow iSolarCloud Android-sovellus – Kiinteät MQTT-tunnistetiedot haavoittuvuus (CVE-2024-50688)

Julkaisupäivä: 20241230

Tuote: iSolarCloud Android-sovellus ja pilvipalvelut
CVE-tunnus:CVE-2024-50688Vakavuus:Keskisuuri

Päivämäärä:30.12.2024

Kuvaus

iSolarCloud Android-sovellus ja pilvipalvelut käyttävät kiinteitä MQTT-tunnistetietoja laitetietojen vaihtamiseen. Tämä haavoittuvuus voi mahdollistaa hyökkääjän katkaista ja manipuloida kommunikaatiota Sungrow-laitteiden ja iSolarCloud-alustan välillä, mikä voi johtaa luvattomaan tietojen käyttöön tai laitetietojen hallintaan.

Vaikutetut versiot

Haavoittuva:Kaikki versiot V2.1.6.20241017 ja sitä aiemmat

Ei vaikuttanut: V2.1.6.20241104 ja myöhemmät

Haavoittuvuusluokitus

CVE-2024-50688: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

Pisteytys perustuu CVSS 3.1 -standardiin. Pisteytyskriteerit voidaan tarkistaa osoitteessa

(https://www.first.org/cvss/calculator/3.1）

Vähentäminen ja Korjaus

Suositeltu toimenpide:Asiakkaiden tulisi päivittää iSolarCloud Android App uusimpaan versioon virallisen sovelluskauppojen kautta.

Korjausjulkaisu: Nyt saatavilla.

Väliaikainen korjaus:Rajoita ulkoista verkkopääsyä MQTT-välittäjiin, kunnes päivitys on otettu käyttöön.

Hyödyntämisen tila

Ei tunnettua hyväksikäyttöä luonnossa.

Kiitokset

Tämä haavoittuvuus löydettiin ja raportoitiin Forescout Technologies.

Lausunto

Kaikki Sungrow Power Supply Co., Ltd.:n tarjoamat ohjelmistopäivitykset, korjaukset ja dokumentaatio ovat Sungrowin omaisuutta. Näitä materiaaleja saa käyttää vain tuotteen ylläpitoon ja turvallisuusparannuksiin. Kaikki luvaton muokkaus, jakelu, dekompilointi tai käänteinen insinööri on tiukasti kielletty.

Sungrow ei tee mitään nimenomaisia tai implisiittisiä takuita koskien tarjottuja tietoja, mukaan lukien, mutta ei rajoittuen, myyntikelpoisuuden, soveltuvuuden tiettyyn tarkoitukseen tai patenttirikkomusten takuita. Sungrow ei ole vastuussa mistään suorista, välillisistä, sattumanvaraisista tai seurausvahingoista, jotka johtuvat tämän asiakirjan tai liittyvän ohjelmiston käytöstä.

Sungrow pidättää oikeuden päivittää tai muokata tätä asiakirjaa milloin tahansa ilman ennakkoilmoitusta. Asiakkaat vastaavat turvallisuuspäivitysten ajantasaisesta toteuttamisesta järjestelmiensä suojaamiseksi.