Name: 【Security Advisory】XSS Vulnerability in Sungrow iSolarCloud(SGSA-202512-122202)
Brand: Sungrow
SKU: 【Security Advisory】XSS Vulnerability in Sungrow iSolarCloud(SGSA-202512-122202)

【Sikkerhedsadvarsel】XSS-sårbarhed i Sungrow iSolarCloud(SGSA-202512-122202)

Udgivelsesdato: 26.12.2025

Produkt: iSolarCloud

Rådgivnings-ID: SGSA-202512-122202

Alvorlighed: Mellem

Dato:26. december 2025

Beskrivelse

XSS-sårbarhed i Sungrow iSolarCloud. Avatarvisningen i baggrundsadministrations-web-grænsefladen er sårbar over for XSS. Angribere kan udføre vilkårlig JavaScript-kode med tilladelse fra et offer. XSS-angreb bruges ofte til at stjæle legitimationsoplysninger eller login-tokens fra andre brugere.

Berørte Versioner

Sårbar: · iSolarCloud commonService-sårbarheden, som blev afhjulpet den 18. december 2025, havde udsat systemet for sikkerhedsrisici før dens afhjælpning.

Ikke Påvirket: iSolarCloud commonService sårbarheden, som blev rettet den 18. december 2025, har ikke udgjort nogen risiko for systemet siden dens opløsning.

Sårbarhedsvurdering

SGSA-202512-122202：CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

Scoringen er baseret på CVSS 3.1-standarden. Scoringkriterierne kan henvises til på

（https://www.first.org/cvss/calculator/3.1)

Afbøjning og Genopretning

Anbefalet handling:iSolarCloud er blevet opgraderet og repareret den 18. december 2025 uden kundehandling.

Patch udgivelse:Ikke tilgængelig.

Midlertidig løsning:Ikke tilgængelig.

BEMÆRKNINGER

Denne sårbarhed blev opdaget og rapporteret af det schweiziske nationale testinstitut for cybersikkerhed NTC.

Kontaktoplysninger

For sikkerhedsspørgsmål vedrørende Sungrows produkter og løsninger, bedes du rapportere til Sungrowpsirt@sungrowpower.com

Revisionshistorik

Version	Dato	Beskrivelse
Version 1.0	2025-12-26	Første udgivelse

Erklæring

Alle softwareopdateringer, patches og dokumentation leveret af Sungrow Power Supply Co., Ltd. er Sungrows ejendomsret. Disse materialer må kun bruges til produktvedligeholdelse og sikkerhedsforbedringer. Enhver uautoriseret ændring, distribution, dekompilering eller omvendt ingeniørarbejde er strengt forbudt.

Sungrow giver ingen udtrykkelige eller underforståede garantier vedrørende de oplysninger, der er givet, herunder men ikke begrænset til garantier for salgbarhed, egnethed til et bestemt formål eller ikke-krænkelse. Sungrow skal ikke være ansvarlig for nogen direkte, indirekte, utilsigtede eller følgeskader, der opstår som følge af brugen af dette dokument eller tilhørende software.

Sungrow forbeholder sig retten til at opdatere eller ændre dette dokument til enhver tid uden forudgående meddelelse. Kunder er ansvarlige for at implementere sikkerhedsopdateringer rettidigt for at beskytte deres systemer.