Sungrow Logo

Sungrow iSolarCloud Android-app – Sårbarhet med hårdkodade MQTT-autentiseringsuppgifter

Publiceringsdatum 2025-03-27

iSolarCloud Android-applikationen och molntjänster använder hårdkodade MQTT-autentiseringsuppgifter för att utbyta enhetstelemetri. Denna sårbarhet skulle kunna låta en angripare avlyssna och manipulera kommunikationen mellan Sungrow-enheter och iSolarCloud-plattformen, vilket potentiellt kan leda till obehörig dataåtkomst eller kontroll över enhetstelemetri.

Berörda versioner

Vi Sårbara:  Alla versioner V2.1.6.20241017 och tidigare
Inte Påverkad:V2.1.6.20241104 och senare

Sårbarhetsbedömning

CVE-2024-50688: 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
Poängsättningen baseras på CVSS 3.1-standarden. Poängsättningskriterierna kan hänvisas till(https://www.first.org/cvss/calculator/3.1

Minskning och åtgärd

Rekommenderad åtgärd: Kunderna bör uppdatera iSolarCloud Android-appen till den senaste versionen via den officiella appbutiken.
Patch-utgåva:Tillgänglig nu.
Tillfällig lösning: Begränsa extern nätverksåtkomst till MQTT-mäklare tills uppgraderingen är tillämpad.

Exploateringsstatus

Ingen känd exploatering i det vilda.

Tack

Denna sårbarhet upptäcktes och rapporterades av Forescout Technologies.

Uttalande

Alla programuppdateringar, korrigeringsfiler och dokumentation som tillhandahålls av Sungrow Power Supply Co., Ltd. är Sungrows egendomliga arbete.
 
Dessa material får endast användas för produktunderhåll och säkerhetsförbättringar. Alla obehöriga modifieringar, distribution, dekompilering eller bakåtanalys är strikt förbjudna.
 
Sungrow ger inga uttryckliga eller underförstådda garantier avseende den tillhandahållna informationen, inklusive men inte begränsat till garantier för säljbarhet, lämplighet för ett visst ändamål eller icke-kränkning. Sungrow ska inte vara ansvarig för några direkta, indirekta, tillfälliga eller följdskador som uppstår från användningen av detta dokument eller tillhörande programvara.
 
Sungrow förbehåller sig rätten att uppdatera eller ändra detta dokument när som helst utan föregående meddelande. Kunder är ansvariga för att genomföra säkerhetsuppdateringar i god tid för att skydda sina system.