JVNVU#94142821
複数のSungrow製品における複数の脆弱性

Sungrowが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2024-50684、CVE-2024-50688

• iSolarCloud Android App V2.1.6.20241017およびそれ以前

• iSolarCloud Android App V2.1.6.20241104およびそれ以前

• WINET-SV200.001.00.P027およびそれ以前

• WINET-SV200.001.00.P025およびそれ以前

• iSolarCloud 2024年10月31日より前の状態

Sungrowが提供する複数の製品には、次の複数の脆弱性が存在します。

• 解読される恐れの高い暗号アルゴリズムの使用（CWE-327）
  • CVE-2024-50684
• ハードコードされた認証情報の使用（CWE-798）
  • CVE-2024-50688、CVE-2024-50692
• 不適切な証明書検証（CWE-295）
  • CVE-2024-50691
• ハードコードされたパスワードの使用（CWE-259）
  • CVE-2024-50690
• スタックベースのバッファオーバーフロー（CWE-121）
  • CVE-2024-50694、CVE-2024-50695、CVE-2024-50697
• ヒープベースのバッファオーバーフロー（CWE-122）
  • CVE-2024-50698
• ダウンロードしたコードの完全性検証不備（CWE-494）
  • CVE-2024-50696
• ユーザ識別情報操作による権限チェック回避（CWE-639）
  • CVE-2024-50685、CVE-2024-50686、CVE-2024-50687、CVE-2024-50689、CVE-2024-50693

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 傍受された通信を復号され、機微な情報を窃取される（CVE-2024-50684）
• 通信を傍受され、デバイスのデータにアクセスされたり、デバイスを操作される（CVE-2024-50688）
• 任意のコマンドを送信され、デバイスを不正に制御される（CVE-2024-50692）
• 当該アプリの通信先になりすまされ、通信を傍受されたり、変更される（CVE-2024-50691）
• ファームウェアアップデートを解読されたり、変更される（CVE-2024-50690）
• サービス運用妨害（DoS）状態にされたり、コードを実行される（CVE-2024-50694、CVE-2024-50695、CVE-2024-50697、CVE-2024-50698）
• 細工されたメッセージを送信され、偽のファームウェアをインストールされる（CVE-2024-50696）
• APIを使用され、機微な情報を窃取される（CVE-2024-50685、CVE-2024-50686、CVE-2024-50687、CVE-2024-50689、CVE-2024-50693）

アップデートする
開発者は、アップデートを提供しています。
iSolarCloudは2024年10月31日に修正済みのため、ユーザの対応は不要です
詳細は、開発者が提供する情報を確認してください。