Omisión de autenticación en Monitoring Platform de SolisCloud
Plataforma de supervisión (API en la nube y API de control de dispositivos): API v1 y API v2.
James Gallagher ha informado a CISA de una vulnerabilidad que, si se explota, puede permitir a un atacante acceder a información confidencial mediante la manipulación de solicitudes API.
No hay ninguna solución reportada por el momento. Para más información se recomienda ponerse en contacto con SolisCloud o revisar las mitigaciones pertinentes que se detallan el enlace de las referencias.
CVE-2025-13932: la API de SolisCloud contiene una vulnerabilidad de control de acceso defectuoso, concretamente una referencia directa a objetos insegura (IDOR), por la que cualquier usuario autenticado puede acceder a datos detallados de cualquier planta modificando el plant_id en la solicitud.
