【Avis de sécurité】Vulnérabilité XSS dans Sungrow iSolarCloud(SGSA-202512-122201)
Date de publication : 2025-12-26
Produit : iSolarCloud
ID de conseil: SGSA-202512-122201
Gravité : Moyen
Date :26 décembre 2025
Onduleur photovoltaïque
Système de stockage d'énergie
Chargeur de véhicule électrique
Système PV Flottant
Produits d'Énergie Intelligente
Description
Vulnérabilité XSS dans Sungrow iSolarCloud. L'affichage du pseudonyme dans l'interface web de gestion d'arrière-plan est vulnérable au XSS. Les adversaires peuvent exécuter du code JavaScript arbitraire avec la permission d'une victime. Les attaques XSS sont souvent utilisées pour voler les identifiants ou les jetons de connexion d'autres utilisateurs.
Versions Affectées
Vulnérable : · La vulnérabilité commonService d'iSolarCloud, qui a été corrigée le 18 décembre 2025, avait exposé le système à des risques de sécurité avant son atténuation.
Non Affecté :La vulnérabilité du service commun iSolarCloud, qui a été corrigée le 18 décembre 2025, n'a posé aucun risque au système depuis sa résolution.
Évaluation de la vulnérabilité
SGSA-202512-122201 : CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
Le score est basé sur la norme CVSS 3.1. Les critères de notation peuvent être référencés à(https://www.first.org/cvss/calculator/3.1)
Atténuation et Remédiation
Action recommandée :L'iSolarCloud a été mis à niveau et réparé le 18 décembre 2025, sans action du client.
Publication de correctif :N/A.
Correctif temporaire :N/A.
Remerciements
Cette vulnérabilité a été découverte et signalée par l'Institut national suisse de test pour la cybersécurité NTC.
Informations de Contact
Pour les problèmes de sécurité concernant les produits et solutions de Sungrow, veuillez les signaler à Sungrow psirt@sungrowpower.com
Historique des Révisions
Version | Date | Description |
V1.0 | 26 décembre 2025 | Version initiale |
Déclaration
Toutes les mises à jour logicielles, correctifs et documentation fournis par Sungrow Power Supply Co., Ltd. sont des œuvres propriétaires de Sungrow. Ces matériaux ne peuvent être utilisés que pour la maintenance du produit et les améliorations de sécurité. Toute modification, distribution, décompilation ou ingénierie inverse non autorisée est strictement interdite.
Sungrow ne fait aucune garantie expresse ou implicite concernant les informations fournies, y compris mais sans s'y limiter, les garanties de qualité marchande, d'adéquation à un usage particulier ou de non-contrefaçon. Sungrow ne sera pas responsable de tout dommage direct, indirect, accessoire ou consécutif découlant de l'utilisation de ce document ou du logiciel associé.
Sungrow se réserve le droit de mettre à jour ou de modifier ce document à tout moment sans préavis. Les clients sont responsables de la mise en œuvre des mises à jour de sécurité en temps opportun pour protéger leurs systèmes.