Name: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)

【Avis de sécurité】Sungrow iSolarCloud – Références directes aux objets non sécurisées (IDOR) dans l'API orgService (CVE-2024-50689)

Date de publication : 20241230

Produit : iSolarCloud
Identifiant CVE : CVE-2024-50689
Gravité :Élevé

Date :30 décembre 2024

Description

L'API orgService d'iSolarCloud est vulnérable aux références directes non sécurisées aux objets (IDOR). Les attaquants peuvent exploiter ce problème pour accéder et modifier les données organisationnelles sans authentification appropriée, ce qui peut entraîner des modifications non autorisées des paramètres à l'échelle de l'organisation, l'exposition de données commerciales sensibles et la perturbation des services.

Versions Affectées

Vulnérable : La vulnérabilité commonService d'iSolarCloud, qui a été corrigée le 31 octobre 2024, avait exposé le système à des risques de sécurité avant son atténuation.

Non Affecté :La vulnérabilité du service commun iSolarCloud, qui a été corrigée le 31 octobre 2024, ne présente aucun risque pour le système depuis sa résolution.

Évaluation de la vulnérabilité

CVE-2024-50689 : 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

Le score est basé sur la norme CVSS 3.1. Les critères de notation peuvent être référencés sur

（https://www.first.org/cvss/calculator/3.1）

Atténuation et Remédiation

Action recommandée :L'iSolarCloud a été mis à jour et réparé le 31 octobre 2024 sans action du client.

Publication de correctif :N/A.

Correctif temporaire :N/A.

Statut d'exploitation

Aucune exploitation connue dans la nature.

Remerciements

Cette vulnérabilité a été découverte et signalée parForescout Technologies.

Déclaration

Toutes les mises à jour logicielles, correctifs et documentation fournis par Sungrow Power Supply Co., Ltd. sont des œuvres propriétaires de Sungrow. Ces matériaux ne peuvent être utilisés que pour la maintenance du produit et les améliorations de sécurité. Toute modification, distribution, décompilation ou ingénierie inverse non autorisée est strictement interdite.

Sungrow ne fait aucune garantie expresse ou implicite concernant les informations fournies, y compris mais sans s'y limiter, les garanties de qualité marchande, d'adéquation à un usage particulier ou de non-contrefaçon. Sungrow ne sera pas responsable de tout dommage direct, indirect, accessoire ou consécutif découlant de l'utilisation de ce document ou du logiciel associé.

Sungrow se réserve le droit de mettre à jour ou de modifier ce document à tout moment sans préavis. Les clients sont responsables de la mise en œuvre des mises à jour de sécurité en temps opportun pour protéger leurs systèmes.

Politique de confidentialité Avertissement Politique des Cookies Conditions générales