Name: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )
Brand: Sungrow
SKU: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )

【Avviso di Sicurezza】L'implementazione MQTT in Sungrow iSolarCloud consentiva agli utenti di sottoscrivere ai dati dell'inverter (CVE-2025-29756)

Data di Pubblicazione: 20250710

Prodotto: iSolarCloud

ID CVE:CVE-2025-29756

Gravità: ALTA

Data: [20250710]

Descrizione

Il sistema per utenti finali iSolarCloud di Sungrow utilizza un servizio MQTT per trasportare i dati dai dispositivi connessi dell'utente al browser web dell'utente.

Il server MQTT tuttavia non aveva restrizioni sufficienti per limitare gli argomenti a cui un utente poteva sottoscriversi.

Un attacco con un account suiSolarCloud.compotrebbe estrarre le credenziali MQTT e la chiave di decrittazione dal browser e quindi utilizzare un programma esterno per sottoscrivere l'argomento '#' e così ricevere tutti i messaggi da tutti i dispositivi connessi.

Versioni interessate

Vulnerabile:La vulnerabilità commonService di iSolarCloud, che è stata risolta il 7 giugno 2025, aveva esposto il sistema a rischi di sicurezza prima della sua mitigazione.

Non interessato:La vulnerabilità iSolarCloud commonService, che è stata risolta il 7 giugno 2025, non ha presentato rischi per il sistema dalla sua risoluzione.

Valutazione della Vulnerabilità

CVE-2025-29756:8.4 (/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:C）

Il punteggio è basato sullo standard CVSS 4.0. I criteri di punteggio possono essere consultati a

（https://www.first.org/cvss/calculator/4.0）

Mitigazione e Bonifica

Azione Raccomandata: L'iSolarCloud è stato aggiornato e riparato il 7 giugno 2025, senza alcuna azione del cliente.

Rilascio di Patch:N/A.

Riparazione Temporanea:N/A.

Stato di Sfruttamento

Nessuno sfruttamento noto in natura.

Riconoscimenti

Questa vulnerabilità è stata scoperta e segnalata da Harm van den Brink di DIVD.

Dichiarazione

Tutti gli aggiornamenti software, le patch e la documentazione forniti da Sungrow Power Supply Co., Ltd. sono opere proprietarie di Sungrow. Questi materiali possono essere utilizzati solo per la manutenzione del prodotto e i miglioramenti della sicurezza. Qualsiasi modifica non autorizzata, distribuzione, decompilazione o ingegneria inversa è severamente vietata.

Sungrow non fornisce garanzie espresse o implicite riguardo alle informazioni fornite, incluse ma non limitate a garanzie di commerciabilità, idoneità per uno scopo particolare o non violazione. Sungrow non sarà responsabile per alcun danno diretto, indiretto, incidentale o consequenziale derivante dall'uso di questo documento o del software associato.

Sungrow si riserva il diritto di aggiornare o modificare questo documento in qualsiasi momento senza preavviso. I clienti sono responsabili dell'implementazione tempestiva degli aggiornamenti di sicurezza per proteggere i propri sistemi.