תאריך פרסום 2025-03-27
יישומון האנדרואיד iSolarCloud ושירותי הענן משתמשים באישורי MQTT מקודדים בקוד קשיח להחלפת טלמטריה של מכשירים. פגיעות זו יכולה לאפשר לתוקף ליירט ולטפל בתקשורת בין מכשירי Sungrow לפלטפורמת iSolarCloud, וכתוצאה מכך, לגרום לגישה לא מורשית לנתונים או לשליטה על טלמטריה של מכשירים.
גרסאות מושפעות
אנחנו פגיעים: כל הגרסאות V2.1.6.20241017 וקודמות
לא מושפע: V2.1.6.20241104 ומעלה
דירוג פגיעות
CVE-2024-50688: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) הדירוג מבוסס על תקן CVSS 3.1. ניתן להתייחס לקריטריוני הדירוג ב-(https://www.first.org/cvss/calculator/3.1)
הפחתה ותיקון
פעולה מומלצת: לקוחות צריכים לעדכן את האפליקציה iSolarCloud לאנדרואיד לגרסה האחרונה דרך חנות האפליקציות הרשמית.
שחרור תיקון: זמין כעת.
תיקון זמני: להגביל גישה לרשת חיצונית למתווכי MQTT עד שהשדרוג ייושם.
מצב ניצול
אין ניצול ידוע בטבע.
תודות
חולשה זו התגלתה ודווחה על ידי Forescout Technologies.
הצהרה
כל עדכוני התוכנה, התיקונים והתיעוד שסופקו על ידי חברת Sungrow Power Supply Co., Ltd. הם עבודה קניינית של Sungrow. חומרים אלה עשויים לשמש רק לתחזוקת המוצר ולשיפורי אבטחה. כל שינוי לא מורשה, הפצה, דה-קומפילציה או הנדסה לאחור אסורים בהחלט.
Sungrow לא נותנת כל אחריות מפורשת או משתמעת לגבי המידע שסופק, כולל אך לא מוגבל לאחריות מסחירות, התאמה למטרה מסוימת או אי הפרה. Sungrow לא תהיה אחראית לכל נזק ישיר, עקיף, מקרי או תוצאתי הנובע משימוש במסמך זה או בתוכנה הקשורה.
Sungrow שומרת לעצמה את הזכות לעדכן או לשנות מסמך זה בכל עת ללא הודעה מוקדמת. הלקוחות אחראים ליישם עדכוני אבטחה בזמן כדי להגן על המערכות שלהם.
