【ייעוץ ביטחוני】Sungrow iSolarCloud – התייחסויות לאובייקט ישיר לא מאובטח (IDOR) ב-orgService API (CVE-2024-50689)
תאריך פרסום: 20241230
מוצר:iSolarCloud
מזהה CVE: CVE-2024-50689
חומרה:גבוה
תאריך:30 בדצמבר 2024
תיאור
ה-API של orgService של iSolarCloud פגיע להפניות אובייקט ישירות לא מאובטחות (IDOR). תוקפים יכולים לנצל את זה כדי לגשת ולשנות נתונים ארגוניים ללא אימות מתאים, מה שעלול להוביל לשינויים לא מורשים בהגדרות של הארגון כולו, חשיפה של נתוני עסקים רגישים, והפרעה לשירותים.
גרסאות מושפעות
פגיע:הפגיעות של iSolarCloud commonService, שתוקנה ב-31 באוקטובר 2024, חשפה את המערכת לסיכוני אבטחה לפני תיקונה.
לֹא מוּשְׁפָּעפירצת ה-iSolarCloud commonService, שתוקנה ב-31 באוקטובר 2024, לא מהווה סיכון למערכת מאז תיקונה.
דירוג פגיעות
CVE-2024-50689: 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)
הניקוד מבוסס על תקן CVSS 3.1. ניתן להתייחס לקריטריוני הניקוד ב-
הפחתה ותיקון
פעולה מומלצת:iSolarCloud שודרג ותוקן ב-31 באוקטובר 2024 ללא פעולה מצד הלקוח.
שחרור תיקון:לא חל
תיקון זמני:לא חל
מצב ניצול
אין ניצול ידוע בטבע.
תודות
פגיעות זו התגלתה והודו על ידי טכנולוגיות Forescout.
הצהרה
כל עדכוני התוכנה, תיקונים, ותיעוד שסופקו על ידי Sungrow Power Supply Co., Ltd. הם עבודה קניינית של Sungrow. חומרים אלו יכולים לשמש רק לתחזוקת המוצר ולשיפורי אבטחה. כל שינוי לא מורשה, הפצה, דה-קומפילציה, או הנדסה הפוכה אסורים לחלוטין.
סאנגרו לא נותנת שום ערבות מפורשת או משתמעת לגבי המידע שסופק, כולל אך לא מוגבל לערבויות של סחירות, התאמה למטרה מסוימת, או אי הפרה. סאנגרו לא תהיה אחראית לכל נזק ישיר, עקיף, מקרי או נזקי תוצאה הנובעים מהשימוש במסמך זה או בתוכנה המשויכת.
Sungrow שומרת לעצמה את הזכות לעדכן או לשנות מסמך זה בכל עת ללא הודעה מוקדמת. הלקוחות אחראים ליישם עדכוני אבטחה בזמן כדי להגן על המערכות שלהם.