Name: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)

【Doradztwo w zakresie bezpieczeństwa】Sungrow iSolarCloud – Niebezpieczne bezpośrednie odwołania do obiektów (IDOR) w interfejsie API orgService (CVE-2024-50689)

Data publikacji: 30.12.2024

Produkt: iSolarCloud
Identyfikator CVE: CVE-2024-50689
Surowość:Wysoki

Data:30.12.2024

Opis

Interfejs API usługi orgService iSolarCloud jest podatny na niebezpieczne bezpośrednie odniesienia do obiektów (IDOR). Atakujący mogą wykorzystać ten problem, aby uzyskać dostęp i modyfikować dane organizacyjne bez odpowiedniego uwierzytelnienia, co potencjalnie może prowadzić do nieautoryzowanych modyfikacji ustawień na poziomie organizacji, ujawnienia wrażliwych danych biznesowych i zakłócenia usług.

Dotknięte wersje

Narażony:Podatność iSolarCloud commonService, która została naprawiona 31 października 2024, narażała system na zagrożenia bezpieczeństwa przed jej złagodzeniem.

Nie dotknięty: Luka iSolarCloud commonService, która została naprawiona 31 października 2024, nie stanowiła żadnego ryzyka dla systemu od czasu jej rozwiązania.

Ocena Podatności

CVE-2024-50689: 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N）

Ocena opiera się na standardzie CVSS 3.1. Kryteria oceny można odnaleźć w

(https://www.first.org/cvss/calculator/3.1）

Łagodzenie i Remediacja

Zalecana akcja:iSolarCloud został zmodernizowany i naprawiony 31 października 2024 roku bez interwencji klienta.

Wydanie łatki:Nie dotyczy.

Tymczasowe Naprawienie:Nie dotyczy.

Status eksploatacji

Brak znanych przypadków wykorzystania w naturze.

Podziękowania

Ta luka została odkryta i zgłoszona przez Forescout Technologies.

Oświadczenie

Wszystkie aktualizacje oprogramowania, poprawki i dokumentacja dostarczone przez Sungrow Power Supply Co., Ltd. są własnością Sungrow. Materiały te mogą być używane wyłącznie do konserwacji produktu i poprawy bezpieczeństwa. Wszelkie nieautoryzowane modyfikacje, dystrybucja, dekompilacja lub inżynieria wsteczna są surowo zabronione.

Sungrow nie składa żadnych wyraźnych lub dorozumianych gwarancji dotyczących udostępnianych informacji, w tym, ale nie tylko, gwarancji dotyczących jakości handlowej, przydatności do określonego celu lub nie naruszania praw. Sungrow nie ponosi odpowiedzialności za jakiekolwiek bezpośrednie, pośrednie, przypadkowe lub następujące szkody wynikające z korzystania z tego dokumentu lub powiązanego oprogramowania.

Sungrow zastrzega sobie prawo do aktualizacji lub modyfikacji niniejszego dokumentu w dowolnym momencie bez uprzedniego powiadomienia. Klienci są odpowiedzialni za terminowe wdrażanie aktualizacji bezpieczeństwa w celu ochrony swoich systemów.

Polityka Prywatności Zastrzeżenie Polityka plików cookies Ogólne Warunki