Name: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)

Rubrik: 【Säkerhetsråd】Sungrow iSolarCloud Android APP – Hårdkodade MQTT-autentiseringsuppgifter Sårbarhet (CVE-2024-50688)

Publiceringsdatum: 20241230

Produkt: iSolarCloud Android-app & Molntjänster
CVE-ID: CVE-2024-50688
Allvarlighetsgrad:Medium

Datum:2024-12-30

Beskrivning

iSolarCloud Android-applikationen och molntjänster använder hårdkodade MQTT-autentiseringsuppgifter för att utbyta enhetstelemetri. Denna sårbarhet skulle kunna låta en angripare avlyssna och manipulera kommunikationen mellan Sungrow-enheter och iSolarCloud-plattformen, vilket potentiellt kan leda till obehörig dataåtkomst eller kontroll över enhetstelemetri.

Berörda versioner

Sårbar:Alla versioner V2.1.6.20241017 och tidigare

Inte påverkad:V2.1.6.20241104 och senare

Sårbarhetsbedömning

CVE-2024-50688: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

Poängsättningen baseras på CVSS 3.1-standard. Poängkriterierna kan hänvisas till.

（https://www.first.org/cvss/calculator/3.1）

Minskning och åtgärd

Rekommenderad åtgärd: Kunderna bör uppdatera den iSolarCloud Android-app till den senaste versionen via den officiella appbutiken.

Korrigering Release:Tillgängligt nu.

Tillfällig lösning:Begränsa extern nätverksåtkomst till MQTT-mäklare tills uppgraderingen tillämpas.

Exploateringsstatus

Ingen känd exploatering i det vilda.

Tack

Denna sårbarhet upptäcktes och rapporterades av Forescout Technologies.

Uttalande

Alla programuppdateringar, patches och dokumentation tillhandahållna av Sungrow Power Supply Co., Ltd. är Sungrows egna verk. Dessa material får endast användas för produktunderhåll och säkerhetsförbättringar. Eventuell obehörig modifiering, distribution, dekompilering eller reverse engineering är strikt förbjuden.

Sungrow gör inga uttryckliga eller underförstådda garantier angående den tillhandahållna informationen, inklusive men inte begränsat till garantier för säljbarhet, lämplighet för ett visst ändamål eller icke-kränkning. Sungrow ska inte vara ansvarig för några direkta, indirekta, oavsiktliga eller följdskador som uppstår från användningen av detta dokument eller tillhörande mjukvara.

Sungrow förbehåller sig rätten att uppdatera eller ändra detta dokument när som helst utan föregående meddelande. Kunderna ansvarar för att genomföra säkerhetsuppdateringar i tid för att skydda sina system.