Name: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in userService API (CVE-2024-50693)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in userService API (CVE-2024-50693)

【Avis de sécurité】Sungrow iSolarCloud – Références directes aux objets non sécurisées (IDOR) dans l'API userService (CVE-2024-50693)

Date de publication : 20241230

Produit : iSolarCloud
Identifiant CVE :CVE-2024-50693Gravité :Élevé

Date :30 décembre 2024

Description

L'API utilisateurService iSolarCloud est vulnérable aux références directes d'objets non sécurisées (IDOR). Cela permet à un attaquant de récupérer des données sensibles de compte utilisateur sans autorisation appropriée, pouvant entraîner des fuites de données, des accès non autorisés et des violations de la vie privée.

Versions Affectées

Vulnérable : La vulnérabilité commonService d'iSolarCloud, qui a été corrigée le 31 octobre 2024, avait exposé le système à des risques de sécurité avant son atténuation.

Non Affecté :La vulnérabilité du service commun iSolarCloud, qui a été corrigée le 31 octobre 2024, ne présente aucun risque pour le système depuis sa résolution.

Évaluation de la vulnérabilité

CVE-2024-50693 : 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

Le score est basé sur la norme CVSS 3.1. Les critères de notation peuvent être référencés sur

（https://www.first.org/cvss/calculator/3.1）

Atténuation et Remédiation

Action recommandée :L'iSolarCloud a été mis à jour et réparé le 31 octobre 2024 sans action du client.

Publication de correctif :N/A.

Correctif temporaire :N/A.

Statut d'exploitation

Aucune exploitation connue dans la nature.

Remerciements

Cette vulnérabilité a été découverte et signalée parForescout Technologies.

Déclaration

Toutes les mises à jour logicielles, correctifs et documentation fournis par Sungrow Power Supply Co., Ltd. sont des œuvres propriétaires de Sungrow. Ces matériaux ne peuvent être utilisés que pour la maintenance du produit et les améliorations de sécurité. Toute modification, distribution, décompilation ou ingénierie inverse non autorisée est strictement interdite.

Sungrow ne fait aucune garantie expresse ou implicite concernant les informations fournies, y compris mais sans s'y limiter, les garanties de qualité marchande, d'adéquation à un usage particulier ou de non-contrefaçon. Sungrow ne sera pas responsable de tout dommage direct, indirect, accessoire ou consécutif découlant de l'utilisation de ce document ou du logiciel associé.

Sungrow se réserve le droit de mettre à jour ou de modifier ce document à tout moment sans préavis. Les clients sont responsables de la mise en œuvre des mises à jour de sécurité en temps opportun pour protéger leurs systèmes.

Politique de confidentialité Avertissement Politique des Cookies Conditions générales