【Turvallisuustiedote】XSS-haavoittuvuus Sungrow iSolarCloudissa (SGSA-202512-122202)
Julkaisupäivä: 20251226
Tuote: iSolarCloud
Neuvontatunnus: SGSA-202512-122202
Vakavuus: Medium
Päivämäärä: 26.12.2025
Aurinkovoiman invertteri
Energian varastointijärjestelmä
EV-latauslaite
Kelluva aurinkovoimalaitos
Älykkäät Energiatuotteet
Kuvaus
XSS-haavoittuvuus Sungrow iSolarCloudissa. Avatar-näyttö Taustahallinnan Web-käyttöliittymässä on alttiina XSS:lle. Viholliset pystyvät suorittamaan mielivaltaista JavaScript-koodia uhrin luvalla. XSS-hyökkäyksiä käytetään usein varastamaan muiden käyttäjien tunnistetiedot tai kirjautumistunnukset.
Vaikutetut versiot
Haavoittuva: · iSolarCloud commonService-haavoittuvuus, joka korjattiin 18. joulukuuta 2025, altisti järjestelmän turvallisuusriskeille ennen sen korjaamista.
Ei vaikuttanut:iSolarCloud commonService -haavoittuvuus, joka korjattiin 18. joulukuuta 2025, ei ole aiheuttanut riskiä järjestelmälle sen ratkaisun jälkeen.
Haavoittuvuusluokitus
SGSA-202512-122202:CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
Pisteytys perustuu CVSS 3.1 -standardiin. Pisteytyskriteerit voidaan tarkistaa osoitteessa
Vähentäminen ja Korjaus
Suositeltu toimenpide: iSolarCloud on päivitetty ja korjattu 18.12.2025 ilman asiakkaan toimia.
Korjausjulkaisu:Ei sovellettavissa.
Väliaikainen korjaus:Ei sovellettavissa.
Kiitokset
Tämä haavoittuvuus löydettiin ja raportoitiin Swiss National Test Institute for Cybersecurity NTC:llä.
Yhteystiedot
Turvallisuusongelmiin liittyen Sungrow-tuotteisiin ja -ratkaisuihin, ilmoita Sungrowille psirt@sungrowpower.com
Muutoshistoria
Versio | Päivämäärä | Kuvaus |
Versio 1.0 | 26.12.2025 | Ensimmäinen julkaisu |
Lausunto
Kaikki Sungrow Power Supply Co., Ltd.:n tarjoamat ohjelmistopäivitykset, korjaukset ja dokumentaatio ovat Sungrowin omaisuutta. Näitä materiaaleja saa käyttää vain tuotteen ylläpitoon ja turvallisuusparannuksiin. Kaikki luvaton muokkaus, jakelu, dekompilointi tai käänteinen insinööri on tiukasti kielletty.
Sungrow ei tee mitään nimenomaisia tai implisiittisiä takuita koskien tarjottuja tietoja, mukaan lukien, mutta ei rajoittuen, myyntikelpoisuuden, soveltuvuuden tiettyyn tarkoitukseen tai patenttirikkomusten takuita. Sungrow ei ole vastuussa mistään suorista, välillisistä, sattumanvaraisista tai seurausvahingoista, jotka johtuvat tämän asiakirjan tai liittyvän ohjelmiston käytöstä.
Sungrow pidättää oikeuden päivittää tai muokata tätä asiakirjaa milloin tahansa ilman ennakkoilmoitusta. Asiakkaat vastaavat turvallisuuspäivitysten ajantasaisesta toteuttamisesta järjestelmiensä suojaamiseksi.