【Bezpečnostní upozornění】XSS Zranitelnost v Sungrow iSolarCloud(SGSA-202512-122201)
Datum publikace: 20251226
Produkt: iSolarCloud
ID poradenství: SGSA-202512-122201
Závažnost: Střední
Datum:26. 12. 2025
Fotovoltaický měnič
Systém ukládání energie
Nabíječka elektromobilů
Plovoucí fotovoltaický systém
Inteligentní energetické produkty
Popis
XSS zranitelnost v Sungrow iSolarCloud. Zobrazení přezdívky ve webovém uživatelském rozhraní správy pozadí je náchylné k XSS. Útočníci mohou spustit libovolný JavaScriptový kód s oprávněním oběti. XSS útoky jsou často používány k odcizení přihlašovacích údajů nebo tokenů jiných uživatelů.
Ovlivněné verze
Zranitelný: · Zranitelnost iSolarCloud commonService, která byla napravena 18. prosince 2025, před jejím zmírněním vystavila systém bezpečnostním rizikům.
Nepostiženo:Zranitelnost iSolarCloud commonService, která byla napravena 18. prosince 2025, od svého vyřešení nepředstavuje pro systém žádné riziko.
Hodnocení zranitelnosti
SGSA-202512-122201: CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
Hodnocení je založeno na standardu CVSS 3.1. Kritéria hodnocení lze nalézt na(https://www.first.org/cvss/calculator/3.1)
Zmírnění a náprava
Doporučená akce:iSolarCloud byl aktualizován a opraven dne 18. prosince 2025, bez zásahu zákazníka.
Vydání opravy:N/A.
Dočasné řešení:N/A.
Poděkování
Tato zranitelnost byla objevena a nahlášena Švýcarským národním testovacím institutem pro kybernetickou bezpečnost NTC.
Kontaktní informace
Pro bezpečnostní problémy týkající se produktů a řešení Sungrow, prosím nahlaste společnosti Sungrow psirt@sungrowpower.com
Historie revizí
Verze | Datum | Popis |
V1.0 | 26. prosince 2025 | První vydání |
Prohlášení
Všechny aktualizace softwaru, záplaty a dokumentace poskytnuté společností Sungrow Power Supply Co., Ltd. jsou výhradním dílem společnosti Sungrow. Tyto materiály mohou být použity pouze pro údržbu produktu a zlepšení zabezpečení. Jakákoli neautorizovaná modifikace, distribuce, dekompilace nebo zpětné inženýrství je přísně zakázána.
Sungrow neposkytuje žádné výslovné nebo předpokládané záruky týkající se poskytnutých informací, včetně, ale nejen, záruk prodejnosti, vhodnosti pro konkrétní účel nebo neporušení práv. Sungrow nebude odpovědný za žádné přímé, nepřímé, náhodné nebo následné škody vzniklé použitím tohoto dokumentu nebo souvisejícího software.
Sungrow si vyhrazuje právo aktualizovat nebo upravovat tento dokument kdykoli bez předchozího upozornění. Zákazníci jsou zodpovědní za včasnou implementaci bezpečnostních aktualizací k ochraně svých systémů.