Name: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud – Insecure Direct Object References (IDOR) in orgService API (CVE-2024-50689)

【คำแนะนำด้านความปลอดภัย】Sungrow iSolarCloud – การอ้างอิงอ็อบเจกต์โดยตรงที่ไม่ปลอดภัย (IDOR) ใน API orgService (CVE-2024-50689)

วันที่เผยแพร่: 20241230

ผลิตภัณฑ์: iSolarCloud
รหัส CVE: CVE-2024-50689
ความรุนแรง:สูง

วันที่:20241230

คำอธิบาย

iSolarCloud orgService API มีช่องโหว่ต่อ Insecure Direct Object References (IDOR) ผู้โจมตีสามารถใช้ปัญหานี้เพื่อเข้าถึงและแก้ไขข้อมูลองค์กรโดยไม่มีการตรวจสอบสิทธิ์ที่เหมาะสม ซึ่งอาจนำไปสู่การแก้ไขการตั้งค่าระดับองค์กรโดยไม่ได้รับอนุญาต การเปิดเผยข้อมูลธุรกิจที่ละเอียดอ่อน และการหยุดชะงักของบริการ

รุ่นที่ได้รับผลกระทบ

อ่อนแอ:ช่องโหว่ของบริการทั่วไป iSolarCloud ซึ่งได้รับการแก้ไขในวันที่ 31 ตุลาคม 2024 ได้เปิดเผยระบบให้มีความเสี่ยงด้านความปลอดภัยก่อนการบรรเทา

ไม่ได้รับผลกระทบ:ช่องโหว่ iSolarCloud commonService ซึ่งได้รับการแก้ไขในวันที่ 31 ตุลาคม 2024 ไม่มีความเสี่ยงต่อระบบตั้งแต่การแก้ไข

การจัดอันดับช่องโหว่

CVE-2024-50689：8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N）

การให้คะแนนอ้างอิงตามมาตรฐาน CVSS 3.1 เกณฑ์การให้คะแนนสามารถอ้างอิงได้ที่

（https://www.first.org/cvss/calculator/3.1）

การบรรเทาและการแก้ไข

คำแนะนำ:iSolarCloud ได้รับการอัปเกรดและซ่อมแซมเมื่อวันที่ 31 ตุลาคม 2024 โดยไม่ต้องดำเนินการจากลูกค้า

การเผยแพร่แพตช์:ไม่มี

การแก้ไขชั่วคราว:ไม่มี

สถานะการดำเนินงาน

ไม่มีการแสวงหาผลประโยชน์ที่รู้จักในโลกจริง

ข้อความขอบคุณ

ช่องโหว่นี้ถูกค้นพบและรายงานโดย Forescout Technologies.

คำแถลง

การอัปเดตซอฟต์แวร์ทั้งหมด แพตช์ และเอกสารที่ให้โดย Sungrow Power Supply Co., Ltd. เป็นงานเฉพาะของ Sungrow วัสดุเหล่านี้สามารถใช้สำหรับการบำรุงรักษาผลิตภัณฑ์และการปรับปรุงความปลอดภัยเท่านั้น ห้ามมิให้มีการปรับเปลี่ยน แจกจ่าย ถอดรหัส หรือวิศวกรรมย้อนกลับโดยไม่ได้รับอนุญาตอย่างเคร่งครัด

Sungrow ไม่รับประกันใด ๆ ทั้งโดยชัดแจ้งหรือโดยนัยเกี่ยวกับข้อมูลที่ให้มา รวมถึงแต่ไม่จำกัดเพียงการรับประกันการขายได้ ความเหมาะสมสำหรับวัตถุประสงค์เฉพาะ หรือการไม่ละเมิดสิทธิ Sungrow จะไม่รับผิดชอบต่อความเสียหายใด ๆ ไม่ว่าทางตรง ทางอ้อม เฉพาะหน้า หรือผลที่ตามมาที่เกิดจากการใช้เอกสารนี้หรือซอฟต์แวร์ที่เกี่ยวข้อง

Sungrow สงวนสิทธิ์ในการอัปเดตหรือแก้ไขเอกสารนี้ได้ทุกเวลาโดยไม่ต้องแจ้งให้ทราบล่วงหน้า ลูกค้ามีความรับผิดชอบในการติดตั้งการอัปเดตความปลอดภัยอย่างทันท่วงทีเพื่อปกป้องระบบของพวกเขา

ผลิตภัณฑ์และโซลูชัน

โซลูชันสำหรับบ้าน โซลูชันสำหรับธุรกิจ โซลูชันสำหรับยูทิลิตี้ อินเวอร์เตอร์พลังงานแสงอาทิตย์ ระบบจัดเก็บพลังงาน ระบบพลังงานแสงอาทิตย์ลอยน้ำ ลม อุปกรณ์ไฮโดรเจน ผลิตภัณฑ์พลังงานอัจฉริยะ ที่ชาร์จ EV Sungrow Renewables

พันธมิตร

ซันโกรว์สำหรับผู้ติดตั้ง Sungrow สำหรับผู้จัดจำหน่าย ค้นหาผู้จัดจำหน่าย

บริการและการสนับสนุน

บริการ Sungrow เรื่องราวบริการ การสนับสนุนผู้ติดตั้ง สำหรับการสนับสนุนที่บ้าน สำหรับการสนับสนุนธุรกิจ เอกสารประกอบผลิตภัณฑ์กรณีศึกษาและเรื่องราว คำถามที่พบบ่อย การรับประกัน การตอบสนองต่อเหตุการณ์ความปลอดภัย

ความยั่งยืน

ภาพรวม กลยุทธ์ความยั่งยืน รายงานและนโยบาย

เกี่ยวกับเรา

เรื่องราวแบรนด์เทคโนโลยีและนวัตกรรม โลกาภิวัตน์การผลิตแบบลีน ข่าวสารและสื่อ นักลงทุน อาชีพ มูลนิธิซันโกรว์บล็อก ติดต่อ Sungrow

นโยบายความเป็นส่วนตัว ข้อสงวนสิทธิ์นโยบายคุกกี้