集团站群
区域/语言
Australia - 
India - 
Japan - 
South Korea - 
Vietnam - 
Belgium - 
France - 
Germany - 
Greece - 
Italy - 
Nederlands - 
Poland - 
Spain - 
Turkiye - 
Ukraine - 
United Kingdom - Middle East and Africa
Arab States - 
Israel - 
Southern Africa - The Americas
Brazil - 
Mexico - 
USA - 
首页 > 漏洞公告
【安全公告】阳光电源股份有限公司阳光云 MQTT 允许用户订阅逆变器数据(CVE-2025-29756)
漏洞描述
阳光电源股份有限公司阳光云使用 MQTT 服务将用户设备的数据传输到用户的浏览器。然而,MQTT 服务器并未对用户可订阅的主题设置足够的限制。攻击者可以利用阳光云上的账户从浏览器中提取 MQTT 凭据和解密密钥,然后使用外部程序订阅主题“#”,从而接收所有连接设备的消息。
受影响版本
· 受影响版本:[漏洞已于2025年6月7日修复,此前该漏洞使系统面临安全风险。]
· 不受影响版本:[漏洞已于2025年6月7日修复,自修复后对系统未造成任何风险。]
漏洞评分
CVE-2025-29756:8.4 (/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:C)
采用CVSS 4.0标准的评分原则,评分标准可参考 (https://www.first.org/cvss/calculator/4.0)
缓解和补救
· 建议行动:阳光云于 2025 年 6 月 7 日进行了升级和修复,无需客户操作。
· 补丁发布:N/A
· 缓解措施:N/A
来源
此漏洞是由DIVD Harm van den Brink发现并报告的。
声明
本页面所称的任何软件/补丁均为阳光电源的版权作品,除用于产品修复目的外,您不得将软件/补丁进一步复制、修改、分发、公布、许可、转让、销售或通过反编译等方式尝试提取其源代码。
本文件不承诺任何明示、默示和法定的担保,包括但不限于对适销性、适用性及不侵权的担保。在任何情况下,阳光电源股份有限公司或其直接或间接控制的子公司对任何损失,包括直接、间接、偶然、必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。阳光电源可以随时对本文件的内容和信息进行修改或更新。
