Name: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )
Brand: Sungrow
SKU: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )

【Συμβουλή Ασφαλείας】Η υλοποίηση MQTT στην Sungrow iSolarCloud επέτρεψε στους χρήστες να εγγραφούν σε δεδομένα αντιστροφέα (CVE-2025-29756)

Ημερομηνία Δημοσίευσης: 10 Ιουλίου 2025

Προϊόν: iSolarCloud

CVE ID:CVE-2025-29756

Βαρύτητα: ΥΨΗΛΗ

Ημερομηνία:[20250710]

Περιγραφή

Το σύστημα τελικών χρηστών iSolarCloud της Sungrow χρησιμοποιεί μια υπηρεσία MQTT για τη μεταφορά δεδομένων από τις συνδεδεμένες συσκευές του χρήστη στο πρόγραμμα περιήγησης ιστού του χρήστη.

Ο διακομιστής MQTT ωστόσο δεν είχε επαρκείς περιορισμούς στη θέση για να περιορίσει τα θέματα στα οποία ένας χρήστης μπορούσε να εγγραφεί.

Μια επίθεση με λογαριασμό σε iSolarCloud.comθα μπορούσε να εξάγει τα διαπιστευτήρια MQTT και το κλειδί αποκρυπτογράφησης από το πρόγραμμα περιήγησης και στη συνέχεια να χρησιμοποιήσει ένα εξωτερικό πρόγραμμα για να εγγραφεί στο θέμα '#' και έτσι να λάβει όλα τα μηνύματα από όλες τις συνδεδεμένες συσκευές.

Επηρεασμένες Εκδόσεις

Ευάλωτος:Η ευπάθεια iSolarCloud commonService, που επιλύθηκε στις 7 Ιουνίου 2025, είχε εκθέσει το σύστημα σε ασφαλειστικούς κινδύνους πριν από την αντιμετώπισή της.

Δεν Επηρεάζεται:Το ευπάθεια iSolarCloud commonService, που αποκαταστάθηκε στις 7 Ιουνίου 2025, δεν έχει θέσει κανένα κίνδυνο στο σύστημα από την επίλυσή της.

Βαθμολόγηση Ευπάθειας

CVE-2025-29756:8.4 (/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:C）

Η βαθμολογία βασίζεται στο πρότυπο CVSS 4.0. Τα κριτήρια βαθμολόγησης μπορούν να αναφερθούν σε

（https://www.first.org/cvss/calculator/4.0)

Περιορισμός και Αποκατάσταση

Προτεινόμενη Δράση:Το iSolarCloud έχει αναβαθμιστεί και επισκευαστεί στις 7 Ιουνίου 2025, χωρίς ενέργεια από τον πελάτη.

Εκδόση Διορθώσεων:Δ/Υ.

Προσωρινή Διόρθωση:Δ/Υ.

Κατάσταση Εκμετάλλευσης

Καμία γνωστή εκμετάλλευση στη φύση.

Ευχαριστίες

Αυτή η ευπάθεια ανακαλύφθηκε και αναφέρθηκε από Χαρμ βαν ντεν Μπρινκ από την DIVD.

Δήλωση

Όλες οι ενημερώσεις λογισμικού, οι επιδιορθώσεις και η τεκμηρίωση που παρέχονται από τη Sungrow Power Supply Co., Ltd. είναι δημιουργήματα ιδιοκτησίας της Sungrow. Αυτά τα υλικά μπορούν να χρησιμοποιηθούν μόνο για τη συντήρηση του προϊόντος και τις βελτιώσεις ασφαλείας. Απαγορεύεται αυστηρά οποιαδήποτε μη εξουσιοδοτημένη τροποποίηση, διανομή, αποσύνθεση ή αντίστροφη μηχανική.

Η Sungrow δεν παρέχει ρητές ή σιωπηρές εγγυήσεις σχετικά με τις πληροφορίες που παρέχονται, συμπεριλαμβανομένων, αλλά όχι περιορισμένων σε, εγγυήσεις εμπορευσιμότητας, καταλληλότητας για συγκεκριμένο σκοπό ή μη παραβίασης. Η Sungrow δεν θα είναι υπεύθυνη για οποιεσδήποτε άμεσες, έμμεσες, τυχαίες ή επακόλουθες ζημίες που προκύπτουν από τη χρήση αυτού του εγγράφου ή του σχετικού λογισμικού.

Ο Sungrow διατηρεί το δικαίωμα να ενημερώσει ή να τροποποιήσει αυτό το έγγραφο ανά πάσα στιγμή χωρίς προειδοποίηση. Οι πελάτες είναι υπεύθυνοι για την έγκαιρη εφαρμογή ενημερώσεων ασφαλείας για να προστατεύσουν τα συστήματά τους.

Προϊόντα & Λύσεις

Λύσεις για το Σπίτι Λύσεις για Επιχειρήσεις Λύσεις για Δημόσιες Υπηρεσίες Αναστροφέας PV Σύστημα Αποθήκευσης Ενέργειας Έξυπνα Προϊόντα Ενέργειας Φορτιστής Ηλεκτρικών Οχημάτων

Συνεργάτες

Sungrow για Εγκαταστάτες Sungrow για Διανομείς

Service & Υποστήριξη

Sungrow Service Ιστορίες Service Υποστήριξη για Εγκαταστάτες Οικιακή Υποστήριξη Υποστήριξη για Επιχειρήσεις Εγχειρίδια Προϊόντων Μελέτες Περίπτωσης Συχνές Ερωτήσεις Εγγύηση Απόκριση σε Περιστατικά Ασφαλείας

Βιωσιμότητα

Επισκόπηση Στρατηγική Βιωσιμότητας Αναφορές και Πολιτικές

Σχετικά Με Εμάς

Ιστορία Μάρκας Τεχνολογία και Καινοτομία Παγκοσμιοποίηση Αποδοτική Παραγωγή Ειδήσεις & Μέσα Καριέρα Ίδρυμα Sungrow Ιστολόγιο Επικοινωνήστε με την Sungrow

Πολιτική Απορρήτου Αποποίηση Ευθυνών Πολιτική Cookies Γενικοί Όροι και Προϋποθέσεις