Name: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)

Titolo: 【Avviso di Sicurezza】App Android Sungrow iSolarCloud – Vulnerabilità delle Credenziali MQTT Hardcoded (CVE-2024-50688)

Data di Pubblicazione: 20241230

Prodotto: iSolarCloud App Android & Servizi Cloud
ID CVE: CVE-2024-50688
Gravità: Medio

Data:20241230

Descrizione

L'applicazione Android iSolarCloud e i servizi cloud utilizzano credenziali MQTT hardcoded per lo scambio di telemetria dei dispositivi. Questa vulnerabilità potrebbe consentire a un attaccante di intercettare e manipolare la comunicazione tra i dispositivi Sungrow e la piattaforma iSolarCloud, portando potenzialmente a un accesso non autorizzato ai dati o al controllo della telemetria dei dispositivi.

Versioni interessate

Vulnerabile:Tutte le versioni V2.1.6.20241017 e precedenti

Non interessato: V2.1.6.20241104 e versioni successive

Valutazione della Vulnerabilità

CVE-2024-50688：5.3（AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N）

Il punteggio si basa sullo standard CVSS 3.1. I criteri di punteggio possono essere consultati su

（https://www.first.org/cvss/calculator/3.1）

Mitigazione e Bonifica

Azione Raccomandata:I clienti dovrebbero aggiornare ilApp Android iSolarCloud all'ultima versione tramite l'app store ufficiale.

Rilascio di Patch: Disponibile ora.

Riparazione Temporanea:Restringere l'accesso alla rete esterna ai broker MQTT fino all'applicazione dell'aggiornamento.

Stato di Sfruttamento

Nessuno sfruttamento noto in natura.

Riconoscimenti

Questa vulnerabilità è stata scoperta e segnalata da Forescout Technologies.

Dichiarazione

Tutti gli aggiornamenti software, le patch e la documentazione forniti da Sungrow Power Supply Co., Ltd. sono opere proprietarie di Sungrow. Questi materiali possono essere utilizzati solo per la manutenzione del prodotto e i miglioramenti della sicurezza. Qualsiasi modifica non autorizzata, distribuzione, decompilazione o ingegneria inversa è severamente vietata.

Sungrow non fornisce garanzie espresse o implicite riguardo alle informazioni fornite, incluse ma non limitate a garanzie di commerciabilità, idoneità per uno scopo particolare o non violazione. Sungrow non sarà responsabile per alcun danno diretto, indiretto, incidentale o consequenziale derivante dall'uso di questo documento o del software associato.

Sungrow si riserva il diritto di aggiornare o modificare questo documento in qualsiasi momento senza preavviso. I clienti sono responsabili dell'implementazione tempestiva degli aggiornamenti di sicurezza per proteggere i propri sistemi.