【Avviso di Sicurezza】App Android Sungrow iSolarCloud – Vulnerabilità di convalida del certificato ignorata (CVE-2024-50691)
Data di Pubblicazione: 20241230
Prodotto: App iSolarCloud per Android
ID CVE:CVE-2024-50691
Gravità: Medio
Data:20241230
Inverter Fotovoltaici
Sistemi per l'accumulo di energia
Caricabatterie per veicoli elettrici
Sistemi fotovoltaici galleggianti
Gestione dell'energia
Descrizione
L'app Android iSolarCloud ignora esplicitamente gli errori di validazione dei certificati SSL/TLS, rendendola vulnerabile ad attacchi Man-in-the-Middle (MitM). Un aggressore potrebbe impersonare il server iSolarCloud, intercettando o modificando le comunicazioni tra l'app mobile e il cloud, potenzialmente portando ad accesso non autorizzato o manipolazione dei dati.
Versioni interessate
Vulnerabile: Tutte le versioni V2.1.6.20241104 e precedenti
Non interessato: V2.1.6.20241115 e successive
Valutazione della Vulnerabilità
CVE-2024-50691: 6.5 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N)
Il punteggio si basa sullo standard CVSS 3.1. I criteri di punteggio possono essere consultati su
Mitigazione e Bonifica
Azione Raccomandata:I clienti dovrebbero aggiornare ilApp Android iSolarCloud all'ultima versione tramite l'app store ufficiale.
Rilascio di Patch: Disponibile ora.
Riparazione Temporanea:Gli utenti dovrebbero evitare di connettersi a reti Wi-Fi pubbliche o non affidabili quando utilizzano l'app iSolarCloud.
Stato di Sfruttamento
Nessuno sfruttamento noto in natura.
Riconoscimenti
Questa vulnerabilità è stata scoperta e segnalata da Forescout Technologies.
Dichiarazione
Tutti gli aggiornamenti software, le patch e la documentazione forniti da Sungrow Power Supply Co., Ltd. sono opere proprietarie di Sungrow. Questi materiali possono essere utilizzati solo per la manutenzione del prodotto e i miglioramenti della sicurezza. Qualsiasi modifica non autorizzata, distribuzione, decompilazione o ingegneria inversa è severamente vietata.
Sungrow non fornisce garanzie espresse o implicite riguardo alle informazioni fornite, incluse ma non limitate a garanzie di commerciabilità, idoneità per uno scopo particolare o non violazione. Sungrow non sarà responsabile per alcun danno diretto, indiretto, incidentale o consequenziale derivante dall'uso di questo documento o del software associato.
Sungrow si riserva il diritto di aggiornare o modificare questo documento in qualsiasi momento senza preavviso. I clienti sono responsabili dell'implementazione tempestiva degli aggiornamenti di sicurezza per proteggere i propri sistemi.