Name: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )
Brand: Sungrow
SKU: 【1Security Advisory】MQTT implementation in Sungrow iSolarCloud allowed users to subscribe to all data of all connected inverters (CVE-2025-29756) )

【Консультація з безпеки】Реалізація MQTT у Sungrow iSolarCloud дозволяла користувачам підписуватися на дані інвертора(CVE-2025-29756)

Дата публікації: 20250710

Продукт: iSolarCloud

Ідентифікатор CVE: CVE-2025-29756

Серйозність: ВИСОКА

Дата: [20250710]

Опис

Система для кінцевих користувачів Sungrow iSolarCloud використовує службу MQTT для передачі даних з підключених пристроїв користувача до веб-браузера користувача.

Однак сервер MQTT не мав достатніх обмежень для обмеження тем, на які користувач міг підписатися.

Атака з обліковим записом на iSolarCloud.comміг витягнути облікові дані MQTT та ключ дешифрування з браузера, а потім використовувати зовнішню програму для підписки на тему '#' і таким чином отримувати всі повідомлення від усіх підключених пристроїв.

Уражені Версії

Уразливий:Вразливість iSolarCloud commonService, яка була усунена 7 червня 2025 року, піддала систему ризикам безпеки до її усунення.

Не впливає:Вразливість iSolarCloud commonService, яка була виправлена 7 червня 2025 року, не становила ризику для системи з моменту її вирішення.

Рейтинг вразливості

CVE-2025-29756:8.4 (/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:C）

Оцінка базується на стандарті CVSS 4.0. Критерії оцінки можна знайти за посиланням

（https://www.first.org/cvss/calculator/4.0）

Пом'якшення та відновлення

Рекомендована дія:iSolarCloud був оновлений та відремонтований 7 червня 2025 р., без дій з боку клієнта.

Випуск патча:Не застосовується.

Тимчасове виправлення:Не застосовується.

Стансфукціонування

Немає відомих атак у реальному середовищі.

Подяки

Цю вразливість було виявлено та повідомленоХарм ван ден Брінк з DIVD.

Заява

Усі оновлення програмного забезпечення, патчі та документація, надані Sungrow Power Supply Co., Ltd., є власністю Sungrow. Ці матеріали можуть використовуватися лише для обслуговування продуктів та покращення безпеки. Будь-яке несанкціоноване модифікування, розповсюдження, декомпіляція або зворотна розробка суворо заборонені.

Sungrow не надає жодних явних або непрямих гарантій щодо наданої інформації, включаючи, але не обмежуючись, гарантіями товарної придатності, придатності для певної мети або не порушення прав. Sungrow не несе відповідальності за будь-які прямі, непрямі, випадкові чи наслідкові збитки, що виникають від використання цього документа або пов'язаного програмного забезпечення.

Sungrow залишає за собою право оновлювати або змінювати цей документ у будь-який час без попереднього повідомлення. Клієнти несуть відповідальність за своєчасне впровадження оновлень безпеки для захисту своїх систем.

Продукти та рішення

Рішення для дому Рішення для бізнесу Рішення для комунального господарства Фотоелектричний інвертор Система зберігання енергії Плавуча фотоелектрична система Розумні енергетичні продукти Зарядний пристрій для електромобілів

Партнери

Sungrow для монтажників Sungrow для дистриб'юторів

Обслуговування та підтримка

Сервіс Sungrow Історії обслуговування Підтримка монтажників Для домашньої підтримки Для підтримки бізнесу Документація продукту Кейси та Історії Часті питання Гарантія Відповідь на інцидент безпеки

Сталість

Огляд Стратегія сталого розвитку Звіти та політики

Про нас

Історія бренду Технологія та інновації Глобалізація Бережливе виробництво Новини та медіа Кар'єра Фонд Sungrow Блог Зв'язатися з Sungrow

Політика конфіденційності Відмова від відповідальності Політика щодо файлів cookie Загальні умови та положення