Sungrow iSolarCloud Android APP – Lỗ hổng do thông tin đăng nhập MQTT được nhúng cứng trong mã

Publish Date 2025-03-27

Ứng dụng iSolarCloud trên Android và dịch vụ đám mây sử dụng thông tin đăng nhập MQTT được mã hóa cố định (hardcoded) để trao đổi dữ liệu telemetri thiết bị. Lỗ hổng này có thể cho phép kẻ tấn công chặn và thao túng giao tiếp giữa các thiết bị Sungrow và nền tảng iSolarCloud, có khả năng dẫn đến truy cập dữ liệu trái phép hoặc kiểm soát telemetri thiết bị.

Phiên bản bị ảnh hưởng

Chúng tôi dễ bị tổn thương: Tất cả các phiên bản V2.1.6.20241017 trở về trước
Không bị ảnh hưởng: V2.1.6.20241104 and later

Đánh giá mức độ dễ bị tổn thương

CVE-2024-50688: 5.3（AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N）
Điểm số dựa trên tiêu chuẩn CVSS 3.1. Tiêu chí chấm điểm có thể tham khảo tại（https://www.first.org/cvss/calculator/3.1）

Giảm thiểu và khắc phục

Hành động được đề xuất:Khách hàng nên cập nhật ứng dụng iSolarCloud cho Android lên phiên bản mới nhất qua cửa hàng ứng dụng chính thức.
Phát hành bản vá:Có sẵn ngay.
Khắc phục tạm thời: Hạn chế truy cập mạng bên ngoài tới các broker MQTT cho đến khi bản nâng cấp được áp dụng.

Tình trạng khai thác

Chưa có khai thác nào được ghi nhận trên thực tế.

Lời cảm ơn

Lỗ hổng này đã được phát hiện và báo cáo bởi Forescout Technologies.

Tuyên bố

Tất cả các bản cập nhật phần mềm, bản vá và tài liệu do Sungrow Power Supply Co., Ltd. cung cấp là tài sản sở hữu của Sungrow. Những tài liệu này chỉ được sử dụng cho việc bảo trì sản phẩm và cải thiện bảo mật. Mọi sửa đổi, phân phối, giải mã hoặc kỹ thuật đảo ngược không được ủy quyền đều bị nghiêm cấm.

Sungrow không đưa ra bất kỳ bảo đảm rõ ràng hay ngụ ý nào liên quan đến thông tin được cung cấp, bao gồm nhưng không giới hạn ở các bảo đảm về khả năng thương mại, tính phù hợp với một mục đích cụ thể hoặc không xâm phạm quyền. Sungrow sẽ không chịu trách nhiệm đối với bất kỳ thiệt hại trực tiếp, gián tiếp, ngẫu nhiên hoặc hệ quả nào phát sinh từ việc sử dụng tài liệu này hoặc phần mềm liên quan.

Sungrow bảo lưu quyền cập nhật hoặc chỉnh sửa tài liệu này bất cứ lúc nào mà không cần thông báo trước. Khách hàng có trách nhiệm thực hiện các bản cập nhật bảo mật kịp thời để bảo vệ hệ thống của họ.

Sản phẩm & Giải pháp

Giải pháp cho Hộ gia đình Giải pháp cho Thương mại & Công nghiệp Giải pháp cho Nhà máy điện NLMT Biến tần PV Hệ thống lưu trữ năng lượng Hệ thống PV nổi Gió Thiết bị hydro Sản phẩm năng lượng thông minh Bộ sạc xe điện (EV)Sungrow Năng lượng tái tạo

Đối tác

Sungrow & Đơn vị lắp đặt Sungrow & Đại lý Tìm Đại lý

Dịch vụ & Hỗ trợ

Dịch vụ Sungrow Câu chuyện dịch vụ Tài liệu sản phẩm Liên hệ với chúng tôi Ứng phó sự cố an ninh

Bền vững

Tổng quan Chiến lược phát triển bền vững Báo cáo và chính sách

Giới thiệu về Sungrow

Câu chuyện thương hiệu Công nghệ và Đổi mới Toàn cầu hóa Sản xuất tinh gọn Tin tức & Truyền thông Nhà đầu tư Sự nghiệp Blog

Chính sách bảo mật Tuyên bố miễn trừ trách nhiệm Chính sách cookie