Name: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)

【Aviso de Seguridad】Sungrow iSolarCloud – Referencias Directas de Objetos Inseguras (IDOR) en la API orgService (CVE-2024-50689)

Fecha de Publicación: 30 de diciembre de 2024

Producto: iSolarCloud
ID de CVE:CVE-2024-50689Gravedad:Alto

Fecha: 20241230

Descripción

La API orgService de iSolarCloud es vulnerable a Referencias Directas a Objetos Inseguras (IDOR). Los atacantes pueden explotar este problema para acceder y modificar datos organizativos sin la autenticación adecuada, lo que potencialmente puede llevar a modificaciones no autorizadas de configuraciones a nivel de organización, exposición de datos empresariales sensibles y interrupción de servicios.

Versiones Afectadas

Vulnerable:La vulnerabilidad del servicio común de iSolarCloud, que se remedió el 31 de octubre de 2024, había expuesto el sistema a riesgos de seguridad antes de su mitigación.

No Afectado:La vulnerabilidad del servicio común de iSolarCloud, que fue remediada el 31 de octubre de 2024, no ha representado ningún riesgo para el sistema desde su resolución.

Calificación de Vulnerabilidad

CVE-2024-50689: 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

La puntuación se basa en el estándar CVSS 3.1. Los criterios de puntuación se pueden consultar en

（https://www.first.org/cvss/calculator/3.1)

Mitigación y remediación

Acción Recomendada:El iSolarCloud ha sido actualizado y reparado el 31 de octubre de 2024 sin acción del cliente.

Lanzamiento de Parche:N/A.

Solución temporal:N/A.

Estado de Explotación

No se conoce explotación en la naturaleza.

Agradecimientos

Esta vulnerabilidad fue descubierta y reportada porForescout Technologies.

Declaración

Todas las actualizaciones de software, parches y documentación proporcionados por Sungrow Power Supply Co., Ltd. son trabajo propietario de Sungrow. Estos materiales solo pueden usarse para el mantenimiento del producto y mejoras de seguridad. Cualquier modificación no autorizada, distribución, descompilación o ingeniería inversa está estrictamente prohibida.

Sungrow no hace garantías expresas o implícitas con respecto a la información proporcionada, incluyendo pero no limitándose a garantías de comerciabilidad, idoneidad para un propósito particular o no infracción. Sungrow no será responsable por ningún daño directo, indirecto, incidental o consecuente que surja del uso de este documento o software asociado.

Sungrow se reserva el derecho de actualizar o modificar este documento en cualquier momento sin previo aviso. Los clientes son responsables de implementar actualizaciones de seguridad de manera oportuna para proteger sus sistemas.

Política de Privacidad Descargo de Responsabilidad Política de Cookies