【セキュリティアドバイザリ】Sungrow iSolarCloud Androidアプリ – 無視された証明書検証の脆弱性 (CVE-2024-50691)
発行日: 2024年12月30日
製品:iSolarCloud AndroidアプリCVE ID:CVE-2024-50691
重大度:中程度
日付:20241230
説明
iSolarCloud Androidアプリは、SSL/TLS証明書検証エラーを明示的に無視するため、中間者攻撃(MitM)に対して脆弱です。攻撃者はiSolarCloudサーバーになりすまし、モバイルアプリとクラウド間の通信を傍受または改ざんし、不正アクセスやデータ操作を引き起こす可能性があります。
影響を受けるバージョン
脆弱: すべてのバージョン V2.1.6.20241104 およびそれ以前
影響なし: V2.1.6.20241115以降
脆弱性評価
CVE-2024-50691:6.5(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N)
スコアリングはCVSS 3.1標準に基づいています。スコアリング基準は、
軽減と修復
推奨アクション:顧客は、更新する必要がありますiSolarCloud Androidアプリ公式アプリストアを通じて最新バージョンに更新します。
パッチリリース: 現在利用可能です。
一時的な修正:iSolarCloudアプリを使用する際、ユーザーは公共または信頼できないWi-Fiネットワークへの接続を避けるべきです。
開発状況
野生での既知の悪用はありません。
謝辞
この脆弱性は、以下によって発見および報告されました:Forescout Technologies。
声明
サングロウ電源株式会社が提供するすべてのソフトウェアアップデート、パッチ、および文書は、サングロウの所有物です。これらの資料は製品のメンテナンスとセキュリティ向上のためにのみ使用できます。無断での改変、配布、逆コンパイル、またはリバースエンジニアリングは厳禁です。
サングロウは、提供される情報について、商品性、特定目的への適合性、または非侵害に関する保証を含むがこれに限定されない、明示的または黙示的な保証を一切行いません。サングロウは、この文書または関連ソフトウェアの使用から生じる直接的、間接的、偶発的、または結果的損害について責任を負いません。
Sungrowは、事前の通知なくいつでもこの文書を更新または変更する権利を留保します。顧客は、システムを保護するためにセキュリティアップデートをタイムリーに実装する責任があります。