Name: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)

Título: 【Aviso de Seguridad】Aplicación Android Sungrow iSolarCloud – Vulnerabilidad de Credenciales MQTT Hardcoded (CVE-2024-50688)

Fecha de Publicación: 30 de diciembre de 2024

Producto: iSolarCloud Aplicación Android y Servicios en la Nube
ID de CVE:CVE-2024-50688Gravedad:Medio

Fecha: 20241230

Descripción

La aplicación Android iSolarCloud y los servicios en la nube utilizan credenciales MQTT codificadas para intercambiar telemetría de dispositivos. Esta vulnerabilidad podría permitir a un atacante interceptar y manipular la comunicación entre los dispositivos Sungrow y la plataforma iSolarCloud, lo que podría llevar a un acceso no autorizado a datos o control sobre la telemetría del dispositivo.

Versiones Afectadas

Vulnerable: Todas las versiones V2.1.6.20241017 y anteriores

No Afectado:V2.1.6.20241104 y posteriores

Calificación de Vulnerabilidad

CVE-2024-50688: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

La puntuación se basa en el estándar CVSS 3.1. Los criterios de puntuación se pueden consultar en

（https://www.first.org/cvss/calculator/3.1)

Mitigación y remediación

Acción Recomendada:Los clientes deben actualizar el Aplicación Android iSolarClouda la última versión a través de la tienda de aplicaciones oficial.

Lanzamiento de Parche: Disponible ahora.

Solución temporal:Restringir el acceso externo de red a los brokers MQTT hasta que se aplique la actualización.

Estado de Explotación

No se conoce explotación en la naturaleza.

Agradecimientos

Esta vulnerabilidad fue descubierta y reportada porForescout Technologies.

Declaración

Todas las actualizaciones de software, parches y documentación proporcionados por Sungrow Power Supply Co., Ltd. son trabajo propietario de Sungrow. Estos materiales solo pueden usarse para el mantenimiento del producto y mejoras de seguridad. Cualquier modificación no autorizada, distribución, descompilación o ingeniería inversa está estrictamente prohibida.

Sungrow no hace garantías expresas o implícitas con respecto a la información proporcionada, incluyendo pero no limitándose a garantías de comerciabilidad, idoneidad para un propósito particular o no infracción. Sungrow no será responsable por ningún daño directo, indirecto, incidental o consecuente que surja del uso de este documento o software asociado.

Sungrow se reserva el derecho de actualizar o modificar este documento en cualquier momento sin previo aviso. Los clientes son responsables de implementar actualizaciones de seguridad de manera oportuna para proteger sus sistemas.

Política de Privacidad Descargo de Responsabilidad Política de Cookies