【Aviso de Segurança】Vulnerabilidade XSS no Sungrow iSolarCloud (SGSA-202512-122202)
Data de Publicação: 20251226
Produto: iSolarCloud
ID de Consultoria: SGSA-202512-122202
Severidade: Médio
Data:2025-12-26
Inversor Fotovoltaico
Sistema de Armazenamento de Energia
Produtos de Energia Inteligente
Descrição
Vulnerabilidade XSS no Sungrow iSolarCloud. A exibição do avatar na Interface de Usuário Web de Gerenciamento de Fundo é vulnerável a XSS. Adversários são capazes de executar código JavaScript arbitrário com a permissão de uma vítima. Ataques XSS são frequentemente usados para roubar credenciais ou tokens de login de outros usuários.
Versões Afetadas
Vulnerável:A vulnerabilidade commonService do iSolarCloud, que foi remediada em 18 de dezembro de 2025, havia exposto o sistema a riscos de segurança antes de sua mitigação.
Não Afetado:A vulnerabilidade commonService do iSolarCloud, que foi remediada em 18 de dezembro de 2025, não representou risco para o sistema desde sua resolução.
Classificação de Vulnerabilidade
SGSA-202512-122202:CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
A pontuação é baseada no padrão CVSS 3.1. Os critérios de pontuação podem ser consultados em
Mitigação e Remediação
Ação Recomendada:O iSolarCloud foi atualizado e reparado em 18 de dezembro de 2025, sem ação do cliente.
Liberação de Correção:N/A.
Correção Temporária:N/A.
Agradecimentos
Esta vulnerabilidade foi descoberta e relatada pelo Instituto Nacional Suíço de Testes para Cibersegurança NTC.
Informações de Contato
Para questões de segurança sobre produtos e soluções da Sungrow, por favor reporte à Sungrow psirt@sungrowpower.com
Histórico de Revisões
Versão | Data | Descrição |
V1.0 | 26 de dezembro de 2025 | Lançamento inicial |
Declaração
Todas as atualizações de software, patches e documentação fornecidos pela Sungrow Power Supply Co., Ltd. são trabalhos proprietários da Sungrow. Esses materiais só podem ser usados para manutenção do produto e melhorias de segurança. Qualquer modificação não autorizada, distribuição, descompilação ou engenharia reversa é estritamente proibida.
A Sungrow não oferece garantias expressas ou implícitas em relação às informações fornecidas, incluindo, mas não se limitando a, garantias de comercialização, adequação a um propósito específico ou não violação. A Sungrow não será responsável por quaisquer danos diretos, indiretos, incidentais ou consequentes decorrentes do uso deste documento ou software associado.
A Sungrow reserva-se o direito de atualizar ou modificar este documento a qualquer momento, sem aviso prévio. Os clientes são responsáveis por implementar atualizações de segurança de maneira oportuna para proteger seus sistemas.