【安全公告】阳光电源 iSolarCloud 中的 XSS 漏洞(SGSA-202512-122201)

发布日期：20251226

产品：iSolarCloud

咨询编号: SGSA-202512-122201

严重程度：中等

日期：2025-12-26

描述

阳光电源 iSolarCloud 存在 XSS 漏洞。后台管理 Web UI 中的昵称显示存在 XSS 漏洞。攻击者可在受害者权限下执行任意 JavaScript 代码。XSS 攻击常用于窃取其他用户的凭证或登录令牌。

受影响的版本

存在漏洞：· iSolarCloud commonService 漏洞于2025年12月18日修复，在缓解前已使系统面临安全风险。

不受影响：iSolarCloud commonService 漏洞已于2025年12月18日修复，自修复以来未对系统造成任何风险。

漏洞等级

SGSA-202512-122201：CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

评分基于CVSS 3.1标准。评分标准可参考于（https://www.first.org/cvss/calculator/3.1）

缓解与修复

建议措施：iSolarCloud已于2025年12月18日升级并修复，无需客户操作。

补丁发布：不适用。

临时修复：不适用。

致谢

此漏洞由瑞士国家网络安全测试研究所 NTC 发现并报告。

联系方式

有关阳光电源产品和解决方案的安全问题，请向阳光电源报告。psirt@sungrowpower.com

修订历史

声明

阳光电源股份有限公司提供的所有软件更新、补丁和文档均为阳光电源的专有作品。这些资料仅可用于产品维护和安全改进。严禁任何未经授权的修改、分发、反编译或逆向工程。

Sungrow 对所提供信息不作任何明示或默示保证，包括但不限于对适销性、特定用途适用性或不侵权的保证。对于因使用本文件或相关软件而产生的任何直接、间接、附带或后果性损害，Sungrow 概不负责。

阳光电源保留在不事先通知的情况下随时更新或修改本文档的权利。客户有责任及时实施安全更新，以保护其系统。