Name: 【Security Advisory】XSS Vulnerability in Sungrow iSolarCloud(SGSA-202512-122201)
Brand: Sungrow
SKU: 【Security Advisory】XSS Vulnerability in Sungrow iSolarCloud(SGSA-202512-122201)

【Beveiligingsadvies】XSS-kwetsbaarheid in Sungrow iSolarCloud(SGSA-202512-122201)

Publicatiedatum: 20251226

Product: iSolarCloud

Advies-ID: SGSA-202512-122201

Ernst: Middel

Datum: 2025-12-26

Beschrijving

XSS-kwetsbaarheid in Sungrow iSolarCloud. De weergave van de bijnaam in de achtergrondbeheer-webinterface is kwetsbaar voor XSS. Aanvallers kunnen willekeurige JavaScript-code uitvoeren met de toestemming van een slachtoffer. XSS-aanvallen worden vaak gebruikt om inloggegevens of toegangstokens van andere gebruikers te stelen.

Aangetaste versies

Kwetsbaar: · De iSolarCloud commonService-kwetsbaarheid, die op 18 december 2025 is hersteld, had het systeem blootgesteld aan beveiligingsrisico's vóór de mitigatie.

Niet Beïnvloed:De iSolarCloud commonService-kwetsbaarheid, die op 18 december 2025 is verholpen, heeft sinds de oplossing geen risico voor het systeem gevormd.

Kwetsbaarheidsclassificatie

SGSA-202512-122201：CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

De score is gebaseerd op de CVSS 3.1-standaard. De scorecriteria kunnen worden geraadpleegd op (https://www.first.org/cvss/calculator/3.1）

Mitigatie en Remediatie

Aanbevolen actie:De iSolarCloud is geüpgraded en gerepareerd op 18 december 2025, zonder actie van de klant.

Patch Uitgave:Niet van toepassing.

Tijdelijke Oplossing:Niet van toepassing.

Erkenningen

Deze kwetsbaarheid werd ontdekt en gerapporteerd door het Zwitserse Nationale Testinstituut voor Cyberbeveiliging NTC.

Contactgegevens

Voor beveiligingsproblemen met betrekking tot Sungrow-producten en -oplossingen, rapporteer deze aan Sungrow.psirt@sungrowpower.com

Revisiegeschiedenis

Versie	Datum	Beschrijving
Versie 1.0	2025-12-26	Eerste release

Verklaring

Alle software-updates, patches en documentatie verstrekt door Sungrow Power Supply Co., Ltd. zijn het eigendom van Sungrow. Deze materialen mogen alleen worden gebruikt voor productonderhoud en beveiligingsverbeteringen. Elke onbevoegde wijziging, distributie, decompilatie of reverse engineering is strikt verboden.

Sungrow geeft geen uitdrukkelijke of stilzwijgende garanties met betrekking tot de verstrekte informatie, inclusief maar niet beperkt tot garanties van verhandelbaarheid, geschiktheid voor een bepaald doel of niet-inbreuk. Sungrow is niet aansprakelijk voor enige directe, indirecte, incidentele of gevolgschade die voortvloeit uit het gebruik van dit document of bijbehorende software.

Sungrow behoudt zich het recht voor om dit document op elk moment bij te werken of te wijzigen zonder voorafgaande kennisgeving. Klanten zijn verantwoordelijk voor het tijdig implementeren van beveiligingsupdates om hun systemen te beschermen.