วันที่เผยแพร่: 20241230
ผลิตภัณฑ์:แอป Android iSolarCloud และบริการคลาวด์รหัส CVE: CVE-2024-50688
ความรุนแรง:ปานกลาง
วันที่:20241230
คำอธิบาย
แอปพลิเคชัน Android iSolarCloud และบริการคลาวด์ใช้ข้อมูลประจำตัว MQTT ที่ฮาร์ดโค้ดสำหรับการแลกเปลี่ยนข้อมูลระยะไกลของอุปกรณ์ ช่องโหว่นี้อาจอนุญาตให้ผู้โจมตีสกัดกั้นและจัดการการสื่อสารระหว่างอุปกรณ์ซันโกรว์และแพลตฟอร์ม iSolarCloud ซึ่งอาจนำไปสู่การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตหรือควบคุมข้อมูลระยะไกลของอุปกรณ์
รุ่นที่ได้รับผลกระทบ
อ่อนแอ:รุ่นทั้งหมด V2.1.6.20241017 และก่อนหน้า
ไม่ได้รับผลกระทบ: V2.1.6.20241104 และหลังจากนี้
การจัดอันดับช่องโหว่
CVE-2024-50688:5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
การให้คะแนนอ้างอิงตามมาตรฐาน CVSS 3.1 เกณฑ์การให้คะแนนสามารถอ้างอิงได้ที่
การบรรเทาและการแก้ไข
คำแนะนำ:ลูกค้าควรอัปเดตแอป iSolarCloud สำหรับ Android ถึงเวอร์ชันล่าสุดผ่านแอปสโตร์อย่างเป็นทางการ
การเผยแพร่แพตช์: พร้อมใช้งานแล้ว
การแก้ไขชั่วคราว:จำกัดการเข้าถึงเครือข่ายภายนอกไปยังโบรกเกอร์ MQTT จนกว่าการอัปเกรดจะถูกนำไปใช้
สถานะการดำเนินงาน
ไม่มีการแสวงหาผลประโยชน์ที่รู้จักในโลกจริง
ข้อความขอบคุณ
ช่องโหว่นี้ถูกค้นพบและรายงานโดย Forescout Technologies.
คำแถลง
การอัปเดตซอฟต์แวร์ทั้งหมด แพตช์ และเอกสารที่ให้โดย Sungrow Power Supply Co., Ltd. เป็นงานเฉพาะของ Sungrow วัสดุเหล่านี้สามารถใช้สำหรับการบำรุงรักษาผลิตภัณฑ์และการปรับปรุงความปลอดภัยเท่านั้น ห้ามมิให้มีการปรับเปลี่ยน แจกจ่าย ถอดรหัส หรือวิศวกรรมย้อนกลับโดยไม่ได้รับอนุญาตอย่างเคร่งครัด
Sungrow ไม่รับประกันใด ๆ ทั้งโดยชัดแจ้งหรือโดยนัยเกี่ยวกับข้อมูลที่ให้มา รวมถึงแต่ไม่จำกัดเพียงการรับประกันการขายได้ ความเหมาะสมสำหรับวัตถุประสงค์เฉพาะ หรือการไม่ละเมิดสิทธิ Sungrow จะไม่รับผิดชอบต่อความเสียหายใด ๆ ไม่ว่าทางตรง ทางอ้อม เฉพาะหน้า หรือผลที่ตามมาที่เกิดจากการใช้เอกสารนี้หรือซอฟต์แวร์ที่เกี่ยวข้อง
Sungrow สงวนสิทธิ์ในการอัปเดตหรือแก้ไขเอกสารนี้ได้ทุกเวลาโดยไม่ต้องแจ้งให้ทราบล่วงหน้า ลูกค้ามีความรับผิดชอบในการติดตั้งการอัปเดตความปลอดภัยอย่างทันท่วงทีเพื่อปกป้องระบบของพวกเขา
