Name: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )
Brand: Sungrow
SKU: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )

【Aviso de Seguridad】La implementación de MQTT en Sungrow iSolarCloud permitía a los usuarios suscribirse a datos del inversor (CVE-2025-29756)

Fecha de Publicación: 10 de julio de 2025

Producto: iSolarCloud

ID CVE: CVE-2025-29756

Gravedad: ALTA

Fecha:[10 de julio de 2025]

Descripción

El sistema de usuarios de backend de Sungrow, iSolarCloud, utiliza un servicio MQTT para transportar datos desde los dispositivos conectados del usuario al navegador web del usuario.

Sin embargo, el servidor MQTT no tenía restricciones suficientes para limitar los temas a los que un usuario podía suscribirse.

Un ataque con una cuenta eniSolarCloud.compodría extraer las credenciales MQTT y la clave de descifrado del navegador y luego usar un programa externo para suscribirse al tema '#' y así recibir todos los mensajes de todos los dispositivos conectados.

Versiones Afectadas

Vulnerable:La vulnerabilidad del servicio común de iSolarCloud, que fue remediada el 7 de junio de 2025, había expuesto el sistema a riesgos de seguridad antes de su mitigación.

No Afectado:La vulnerabilidad de commonService de iSolarCloud, que se remedió el 7 de junio de 2025, no ha representado ningún riesgo para el sistema desde su resolución.

Calificación de Vulnerabilidad

CVE-2025-29756:8.4 (/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:C）

La puntuación se basa en el estándar CVSS 4.0. Los criterios de puntuación se pueden consultar en

（https://www.first.org/cvss/calculator/4.0)

Mitigación y remediación

Acción Recomendada:El iSolarCloud ha sido actualizado y reparado el 7 de junio de 2025, sin acción del cliente.

Lanzamiento de Parche:N/A.

Solución temporal:N/A.

Estado de Explotación

No se conoce explotación en la naturaleza.

Agradecimientos

Esta vulnerabilidad fue descubierta y reportada porHarm van den Brink de DIVD.

Declaración

Todas las actualizaciones de software, parches y documentación proporcionados por Sungrow Power Supply Co., Ltd. son trabajo propietario de Sungrow. Estos materiales solo pueden usarse para el mantenimiento del producto y mejoras de seguridad. Cualquier modificación no autorizada, distribución, descompilación o ingeniería inversa está estrictamente prohibida.

Sungrow no hace garantías expresas o implícitas con respecto a la información proporcionada, incluyendo pero no limitándose a garantías de comerciabilidad, idoneidad para un propósito particular o no infracción. Sungrow no será responsable por ningún daño directo, indirecto, incidental o consecuente que surja del uso de este documento o software asociado.

Sungrow se reserva el derecho de actualizar o modificar este documento en cualquier momento sin previo aviso. Los clientes son responsables de implementar actualizaciones de seguridad de manera oportuna para proteger sus sistemas.

Política de Privacidad Descargo de Responsabilidad Política de Cookies