Name: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)

Titre : 【Avis de Sécurité】Application Android Sungrow iSolarCloud – Vulnérabilité des Identifiants MQTT Codés en Dur (CVE-2024-50688)

Date de publication : 20241230

Produit : Application Android iSolarCloud & Services Cloud
Identifiant CVE :CVE-2024-50688Gravité :Moyen

Date :30 décembre 2024

Description

L'application Android iSolarCloud et les services cloud utilisent des identifiants MQTT codés en dur pour échanger la télémétrie des appareils. Cette vulnérabilité pourrait permettre à un attaquant d'intercepter et de manipuler la communication entre les appareils Sungrow et la plateforme iSolarCloud, potentiellement conduisant à un accès non autorisé aux données ou au contrôle de la télémétrie des appareils.

Versions Affectées

Vulnérable :Toutes les versions V2.1.6.20241017 et antérieures

Non Affecté :V2.1.6.20241104 et versions ultérieures

Évaluation de la vulnérabilité

CVE-2024-50688 : 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

Le score est basé sur la norme CVSS 3.1. Les critères de notation peuvent être référencés sur

（https://www.first.org/cvss/calculator/3.1）

Atténuation et Remédiation

Action recommandée :Les clients doivent mettre à jour leApplication Android iSolarCloud vers la dernière version via la boutique d'applications officielle.

Publication de correctif : Disponible maintenant.

Correctif temporaire :Restreignez l'accès au réseau externe aux courtiers MQTT jusqu'à ce que la mise à niveau soit appliquée.

Statut d'exploitation

Aucune exploitation connue dans la nature.

Remerciements

Cette vulnérabilité a été découverte et signalée parForescout Technologies.

Déclaration

Toutes les mises à jour logicielles, correctifs et documentation fournis par Sungrow Power Supply Co., Ltd. sont des œuvres propriétaires de Sungrow. Ces matériaux ne peuvent être utilisés que pour la maintenance du produit et les améliorations de sécurité. Toute modification, distribution, décompilation ou ingénierie inverse non autorisée est strictement interdite.

Sungrow ne fait aucune garantie expresse ou implicite concernant les informations fournies, y compris mais sans s'y limiter, les garanties de qualité marchande, d'adéquation à un usage particulier ou de non-contrefaçon. Sungrow ne sera pas responsable de tout dommage direct, indirect, accessoire ou consécutif découlant de l'utilisation de ce document ou du logiciel associé.

Sungrow se réserve le droit de mettre à jour ou de modifier ce document à tout moment sans préavis. Les clients sont responsables de la mise en œuvre des mises à jour de sécurité en temps opportun pour protéger leurs systèmes.

Politique de confidentialité Avertissement Politique des Cookies Conditions générales