【ייעוץ אבטחה】Sungrow iSolarCloud – התייחסויות ישירות לא בטוחות (IDOR) ב-userService API (CVE-2024-50693)
תאריך פרסום: 20241230
מוצר:iSolarCloud
מזהה CVE:CVE-2024-50693חומרה:גבוה
תאריך:30 בדצמבר 2024
תיאור
API של userService iSolarCloud פגיע ל-Insecure Direct Object References (IDOR). זה מאפשר לתוקף לאחזר נתונים רגישים של חשבונות משתמשים ללא הרשאה מתאימה, מה שעלול להוביל לדליפת נתונים, גישה לא מורשית והפרת פרטיות.
גרסאות מושפעות
פגיע:הפגיעות של iSolarCloud commonService, שתוקנה ב-31 באוקטובר 2024, חשפה את המערכת לסיכוני אבטחה לפני תיקונה.
לֹא מוּשְׁפָּעפירצת ה-iSolarCloud commonService, שתוקנה ב-31 באוקטובר 2024, לא מהווה סיכון למערכת מאז תיקונה.
דירוג פגיעות
CVE-2024-50693: 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)
הניקוד מבוסס על תקן CVSS 3.1. ניתן להתייחס לקריטריוני הניקוד ב-
הפחתה ותיקון
פעולה מומלצת:iSolarCloud שודרג ותוקן ב-31 באוקטובר 2024 ללא פעולה מצד הלקוח.
שחרור תיקון:לא חל
תיקון זמני:לא חל
מצב ניצול
אין ניצול ידוע בטבע.
תודות
פגיעות זו התגלתה והודו על ידי טכנולוגיות Forescout.
הצהרה
כל עדכוני התוכנה, תיקונים, ותיעוד שסופקו על ידי Sungrow Power Supply Co., Ltd. הם עבודה קניינית של Sungrow. חומרים אלו יכולים לשמש רק לתחזוקת המוצר ולשיפורי אבטחה. כל שינוי לא מורשה, הפצה, דה-קומפילציה, או הנדסה הפוכה אסורים לחלוטין.
סאנגרו לא נותנת שום ערבות מפורשת או משתמעת לגבי המידע שסופק, כולל אך לא מוגבל לערבויות של סחירות, התאמה למטרה מסוימת, או אי הפרה. סאנגרו לא תהיה אחראית לכל נזק ישיר, עקיף, מקרי או נזקי תוצאה הנובעים מהשימוש במסמך זה או בתוכנה המשויכת.
Sungrow שומרת לעצמה את הזכות לעדכן או לשנות מסמך זה בכל עת ללא הודעה מוקדמת. הלקוחות אחראים ליישם עדכוני אבטחה בזמן כדי להגן על המערכות שלהם.