Name: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)

【Säkerhetsrådgivning】Sungrow iSolarCloud – Osäkra direkta objektreferenser (IDOR) i orgService API (CVE-2024-50689)

Publiceringsdatum: 20241230

Produkt: iSolarCloud
CVE-ID: CVE-2024-50689
Allvarlighetsgrad: Hög

Datum:2024-12-30

Beskrivning

iSolarCloud orgService API är sårbar för osäkra direkta objektreferenser (IDOR). Angripare kan utnyttja detta problem för att komma åt och modifiera organisationsdata utan korrekt autentisering, vilket potentiellt kan leda till obehöriga ändringar av organisationsomfattande inställningar, exponering av känsliga affärsdata och avbrott i tjänster.

Berörda versioner

Sårbar:Sårbarheten i iSolarCloud commonService, som åtgärdades den 31 oktober 2024, hade utsatt systemet för säkerhetsrisker innan dess åtgärd.

Inte påverkad:Sårbarheten i iSolarCloud commonService, som åtgärdades den 31 oktober 2024, har inte inneburit någon risk för systemet sedan dess lösning.

Sårbarhetsbedömning

CVE-2024-50689：8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N）

Poängsättningen baseras på CVSS 3.1-standard. Poängkriterierna kan hänvisas till.

（https://www.first.org/cvss/calculator/3.1）

Minskning och åtgärd

Rekommenderad åtgärd:iSolarCloud har uppgraderats och reparerats den 31 oktober 2024 utan kundåtgärd.

Korrigering Release:Ej tillämpligt.

Tillfällig lösning:Ej tillämpligt.

Exploateringsstatus

Ingen känd exploatering i det vilda.

Tack

Denna sårbarhet upptäcktes och rapporterades av Forescout Technologies.

Uttalande

Alla programuppdateringar, patches och dokumentation tillhandahållna av Sungrow Power Supply Co., Ltd. är Sungrows egna verk. Dessa material får endast användas för produktunderhåll och säkerhetsförbättringar. Eventuell obehörig modifiering, distribution, dekompilering eller reverse engineering är strikt förbjuden.

Sungrow gör inga uttryckliga eller underförstådda garantier angående den tillhandahållna informationen, inklusive men inte begränsat till garantier för säljbarhet, lämplighet för ett visst ändamål eller icke-kränkning. Sungrow ska inte vara ansvarig för några direkta, indirekta, oavsiktliga eller följdskador som uppstår från användningen av detta dokument eller tillhörande mjukvara.

Sungrow förbehåller sig rätten att uppdatera eller ändra detta dokument när som helst utan föregående meddelande. Kunderna ansvarar för att genomföra säkerhetsuppdateringar i tid för att skydda sina system.