【Консультація з безпеки】Додаток Sungrow iSolarCloud для Android – Ігнорована вразливість валідації сертифіката (CVE-2024-50691)

Дата публікації: 20241230

Продукт:Додаток iSolarCloud для AndroidІдентифікатор CVE: CVE-2024-50691
Серйозність: Середній

Дата:20241230

Опис

Додаток iSolarCloud для Android явно ігнорує помилки перевірки сертифікатів SSL/TLS, що робить його вразливим до атак «людина посередині» (MitM). Зловмисник може видавати себе за сервер iSolarCloud, перехоплюючи або модифікуючи комунікації між мобільним додатком та хмарою, що потенційно може призвести до несанкціонованого доступу або маніпулювання даними.

Уражені Версії

Уразливий:Усі версії V2.1.6.20241104 та раніші

Не впливає: V2.1.6.20241115 та пізніше

Рейтинг вразливості

CVE-2024-50691：6.5（AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N）

Оцінка базується на стандарті CVSS 3.1. Критерії оцінки можна знайти за посиланням на

（https://www.first.org/cvss/calculator/3.1）

Пом'якшення та відновлення

Рекомендована дія:Клієнти повинні оновити iSolarCloud Android Додаток до останньої версії через офіційний магазин додатків.

Випуск патча:Доступно зараз.

Тимчасове виправлення: Користувачі повинні уникати підключення до публічних або ненадійних мереж Wi-Fi при використанні додатку iSolarCloud.

Стансфукціонування

Немає відомих атак у реальному середовищі.

Подяки

Цю вразливість було виявлено та повідомленоForescout Technologies.

Заява

Усі оновлення програмного забезпечення, патчі та документація, надані Sungrow Power Supply Co., Ltd., є власністю Sungrow. Ці матеріали можуть використовуватися лише для обслуговування продуктів та покращення безпеки. Будь-яке несанкціоноване модифікування, розповсюдження, декомпіляція або зворотна розробка суворо заборонені.

Sungrow не надає жодних явних або непрямих гарантій щодо наданої інформації, включаючи, але не обмежуючись, гарантіями товарної придатності, придатності для певної мети або не порушення прав. Sungrow не несе відповідальності за будь-які прямі, непрямі, випадкові чи наслідкові збитки, що виникають від використання цього документа або пов'язаного програмного забезпечення.

Sungrow залишає за собою право оновлювати або змінювати цей документ у будь-який час без попереднього повідомлення. Клієнти несуть відповідальність за своєчасне впровадження оновлень безпеки для захисту своїх систем.