Name: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)

Заголовок：【Консультація з безпеки】Sungrow iSolarCloud Android APP – Уразливість жорстко заданих облікових даних MQTT (CVE-2024-50688)

Дата публікації: 20241230

Продукт:Додаток iSolarCloud для Android та хмарні послугиІдентифікатор CVE: CVE-2024-50688
Серйозність: Середній

Дата:20241230

Опис

Додаток iSolarCloud для Android та хмарні послуги використовують жорстко запрограмовані облікові дані MQTT для обміну телеметрією пристрою. Ця вразливість може дозволити зловмиснику перехопити та маніпулювати комунікацією між пристроями Sungrow та платформою iSolarCloud, потенційно призводячи до несанкціонованого доступу до даних або контролю над телеметрією пристрою.

Уражені Версії

Уразливий:Усі версії V2.1.6.20241017 та попередні

Не впливає:V2.1.6.20241104 та пізніші

Рейтинг вразливості

CVE-2024-50688: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

Оцінка базується на стандарті CVSS 3.1. Критерії оцінки можна знайти за посиланням на

（https://www.first.org/cvss/calculator/3.1）

Пом'якшення та відновлення

Рекомендована дія:Клієнти повинні оновити iSolarCloud Android Додаток до останньої версії через офіційний магазин додатків.

Випуск патча:Доступно зараз.

Тимчасове виправлення:Обмежити доступ зовнішньої мережі до брокерів MQTT до застосування оновлення.

Стансфукціонування

Немає відомих атак у реальному середовищі.

Подяки

Цю вразливість було виявлено та повідомленоForescout Technologies.

Заява

Усі оновлення програмного забезпечення, патчі та документація, надані Sungrow Power Supply Co., Ltd., є власністю Sungrow. Ці матеріали можуть використовуватися лише для обслуговування продуктів та покращення безпеки. Будь-яке несанкціоноване модифікування, розповсюдження, декомпіляція або зворотна розробка суворо заборонені.

Sungrow не надає жодних явних або непрямих гарантій щодо наданої інформації, включаючи, але не обмежуючись, гарантіями товарної придатності, придатності для певної мети або не порушення прав. Sungrow не несе відповідальності за будь-які прямі, непрямі, випадкові чи наслідкові збитки, що виникають від використання цього документа або пов'язаного програмного забезпечення.

Sungrow залишає за собою право оновлювати або змінювати цей документ у будь-який час без попереднього повідомлення. Клієнти несуть відповідальність за своєчасне впровадження оновлень безпеки для захисту своїх систем.

Продукти та рішення

Рішення для дому Рішення для бізнесу Рішення для комунального господарства Фотоелектричний інвертор Система зберігання енергії Плавуча фотоелектрична система Розумні енергетичні продукти Зарядний пристрій для електромобілів

Партнери

Sungrow для монтажників Sungrow для дистриб'юторів

Обслуговування та підтримка

Сервіс Sungrow Історії обслуговування Підтримка монтажників Для домашньої підтримки Для підтримки бізнесу Документація продукту Кейси та Історії Часті питання Гарантія Відповідь на інцидент безпеки

Сталість

Огляд Стратегія сталого розвитку Звіти та політики

Про нас

Історія бренду Технологія та інновації Глобалізація Бережливе виробництво Новини та медіа Кар'єра Фонд Sungrow Блог Зв'язатися з Sungrow

Політика конфіденційності Відмова від відповідальності Політика щодо файлів cookie Загальні умови та положення