【セキュリティ勧告】Sungrow iSolarCloudのMQTT実装により、ユーザーがインバーターデータを購読できる問題(CVE-2025-29756)
公開日:2025年7月10日
製品iSolarCloud
CVE ID:CVE-2025-29756
重大度:高
日付:[2025年07月10日]
説明
SungrowのバックエンドユーザーシステムiSolarCloudは、MQTTサービスを使用して、ユーザーの接続デバイスからユーザーのウェブブラウザにデータを転送します。
ただし、MQTTサーバーにはユーザーが購読できるトピックを制限するための十分な制限が設定されていませんでした。
アカウントを使用した攻撃iSolarCloud.comブラウザからMQTT資格情報と復号キーを抽出し、外部プログラムを使用してトピック「#」に登録し、すべての接続デバイスからのすべてのメッセージを受信できる可能性があります。
影響を受けるバージョン
脆弱:2025年6月7日に修正されたiSolarCloud共通サービス脆弱性は、緩和される前にシステムをセキュリティリスクにさらしていました。
影響なし:2025年6月7日に修正されたiSolarCloud commonServiceの脆弱性は、解決以来、システムにリスクをもたらしていません。
脆弱性評価
CVE-2025-29756:8.4 (AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:C)
スコアリングはCVSS 4.0基準に基づいています。スコアリング基準は以下で参照できます。
軽減と修復
推奨アクション: iSolarCloudは2025年6月7日にアップグレードおよび修理され、顧客の操作なしに行われました。
パッチリリース:該当なし。
一時的な修正:該当なし。
開発状況
野生での既知の悪用はありません。
謝辞
この脆弱性は、以下によって発見および報告されました:DIVDのHarm van den Brink。
声明
サングロウ電源株式会社が提供するすべてのソフトウェアアップデート、パッチ、および文書は、サングロウの所有物です。これらの資料は製品のメンテナンスとセキュリティ向上のためにのみ使用できます。無断での改変、配布、逆コンパイル、またはリバースエンジニアリングは厳禁です。
サングロウは、提供される情報について、商品性、特定目的への適合性、または非侵害に関する保証を含むがこれに限定されない、明示的または黙示的な保証を一切行いません。サングロウは、この文書または関連ソフトウェアの使用から生じる直接的、間接的、偶発的、または結果的損害について責任を負いません。
Sungrowは、事前の通知なくいつでもこの文書を更新または変更する権利を留保します。顧客は、システムを保護するためにセキュリティアップデートをタイムリーに実装する責任があります。