Name: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )
Brand: Sungrow
SKU: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )

【Säkerhetsavisering】MQTT-implementeringen i Sungrow iSolarCloud tillät användare att prenumerera på omvandlar data (CVE-2025-29756)

Publiceringsdatum: 20250710

Produkt: iSolarCloud

CVE ID: CVE-2025-29756

Allvarlighet: HÖG

Datum: [10 juli 2025]

Beskrivning

Sungrows back end användarsystem iSolarCloud använder en MQTT-tjänst för att transportera data från användarens anslutna enheter till användarens webbläsare.

MQTT-servern hade dock inte tillräckliga begränsningar för att begränsa de ämnen som en användare kunde prenumerera på.

En attack med ett konto påiSolarCloud.comkunde extrahera MQTT-uppgifter och dekrypteringsnyckeln från webbläsaren och sedan använda ett externt program för att prenumerera på ämnet '#' och därmed ta emot alla meddelanden från alla anslutna enheter.

Berörda versioner

Sårbar:Sårbarheten i iSolarCloud commonService, som åtgärdades den 7 juni 2025, hade exponerat systemet för säkerhetsrisker före dess mildrande.

Inte påverkad:Sårbarheten i iSolarCloud commonService, som åtgärdades den 7 juni 2025, har inte inneburit någon risk för systemet sedan dess lösning.

Sårbarhetsbedömning

CVE-2025-29756:8.4 (/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:C）

Poängsättningen baseras på CVSS 4.0-standarden. Poängkriterierna kan refereras till

（https://www.first.org/cvss/calculator/4.0）

Minskning och åtgärd

Rekommenderad åtgärd: iSolarCloud har uppgraderats och reparerats den 7 juni 2025, utan kundåtgärd.

Korrigering Release:Ej tillämpligt.

Tillfällig lösning:Ej tillämpligt.

Exploateringsstatus

Ingen känd exploatering i det vilda.

Tack

Denna sårbarhet upptäcktes och rapporterades av Harm van den Brink från DIVD.

Uttalande

Alla programuppdateringar, patches och dokumentation tillhandahållna av Sungrow Power Supply Co., Ltd. är Sungrows egna verk. Dessa material får endast användas för produktunderhåll och säkerhetsförbättringar. Eventuell obehörig modifiering, distribution, dekompilering eller reverse engineering är strikt förbjuden.

Sungrow gör inga uttryckliga eller underförstådda garantier angående den tillhandahållna informationen, inklusive men inte begränsat till garantier för säljbarhet, lämplighet för ett visst ändamål eller icke-kränkning. Sungrow ska inte vara ansvarig för några direkta, indirekta, oavsiktliga eller följdskador som uppstår från användningen av detta dokument eller tillhörande mjukvara.

Sungrow förbehåller sig rätten att uppdatera eller ändra detta dokument när som helst utan föregående meddelande. Kunderna ansvarar för att genomföra säkerhetsuppdateringar i tid för att skydda sina system.