【Bezpečnostní upozornění】Zranitelnost XSS v Sungrow iSolarCloud(SGSA-202512-122202)
Datum publikace: 20251226
Produkt: iSolarCloud
ID poradenství: SGSA-202512-122202
Závažnost: Střední
Datum:26. 12. 2025
Fotovoltaický měnič
Systém ukládání energie
Nabíječka elektromobilů
Plovoucí fotovoltaický systém
Inteligentní energetické produkty
Popis
Zranitelnost XSS v Sungrow iSolarCloud. Zobrazení avatara ve webovém rozhraní správy pozadí je zranitelné vůči XSS. Útočníci jsou schopni spustit libovolný kód JavaScript s povolením oběti. Útoky XSS se často používají ke krádeži přihlašovacích údajů nebo přihlašovacích tokenů jiných uživatelů.
Ovlivněné verze
Zranitelný: · Zranitelnost iSolarCloud commonService, která byla napravena 18. prosince 2025, před jejím zmírněním vystavila systém bezpečnostním rizikům.
Nepostiženo:Zranitelnost iSolarCloud commonService, která byla napravena 18. prosince 2025, od svého vyřešení nepředstavuje pro systém žádné riziko.
Hodnocení zranitelnosti
SGSA-202512-122202: CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
Hodnocení je založeno na standardu CVSS 3.1. Kritéria hodnocení lze najít na
Zmírnění a náprava
Doporučená akce:iSolarCloud byl aktualizován a opraven dne 18. prosince 2025, bez zásahu zákazníka.
Vydání opravy:N/A.
Dočasné řešení:N/A.
Poděkování
Tato zranitelnost byla objevena a nahlášena Švýcarským národním testovacím institutem pro kybernetickou bezpečnost NTC.
Kontaktní informace
Pro bezpečnostní problémy týkající se produktů a řešení Sungrow, prosím nahlaste společnosti Sungrow psirt@sungrowpower.com
Historie revizí
Verze | Datum | Popis |
V1.0 | 26. prosince 2025 | První vydání |
Prohlášení
Všechny aktualizace softwaru, záplaty a dokumentace poskytnuté společností Sungrow Power Supply Co., Ltd. jsou výhradním dílem společnosti Sungrow. Tyto materiály mohou být použity pouze pro údržbu produktu a zlepšení zabezpečení. Jakákoli neautorizovaná modifikace, distribuce, dekompilace nebo zpětné inženýrství je přísně zakázána.
Sungrow neposkytuje žádné výslovné nebo předpokládané záruky týkající se poskytnutých informací, včetně, ale nejen, záruk prodejnosti, vhodnosti pro konkrétní účel nebo neporušení práv. Sungrow nebude odpovědný za žádné přímé, nepřímé, náhodné nebo následné škody vzniklé použitím tohoto dokumentu nebo souvisejícího software.
Sungrow si vyhrazuje právo aktualizovat nebo upravovat tento dokument kdykoli bez předchozího upozornění. Zákazníci jsou zodpovědní za včasnou implementaci bezpečnostních aktualizací k ochraně svých systémů.