ייעוץ אבטחה: פגיעות XSS ב-Sungrow iSolarCloud (SGSA-202512-122201)
תאריך פרסום: 20251226
מוצר: iSolarCloud
מזהה ייעוץ: SGSA-202512-122201
חומרה: בינוני
תאריך:26-12-2025
תיאור
פגיעות XSS ב-Sungrow iSolarCloud. התצוגה של הכינוי בממשק הניהול הרקע באינטרנט פגיעה ל-XSS. יריבים יכולים לבצע קוד JavaScript שרירותי עם הרשאה של קורבן. התקפות XSS משמשות לעתים קרובות לגניבת פרטי גישה או אסימוני כניסה של משתמשים אחרים.
גרסאות מושפעות
פגיע: · פגיעת ה-commonService של iSolarCloud, שתוקנה ב-18 בדצמבר 2025, חשפה את המערכת לסיכוני אבטחה לפני תיקונה.
לֹא מוּשְׁפָּעפגיעת השירות המשותף של iSolarCloud, שתוקנה ב-18 בדצמבר 2025, לא היוותה כל סיכון למערכת מאז פתרונה.
דירוג פגיעות
SGSA-202512-122201: CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
הניקוד מבוסס על תקן CVSS 3.1. ניתן להתייחס לקריטריוני הניקוד ב-(https://www.first.org/cvss/calculator/3.1)
הפחתה ותיקון
פעולה מומלצת:ה-iSolarCloud שודרג ותוקן ב-18 בדצמבר 2025, ללא פעולה מצד הלקוח.
שחרור תיקון:לא חל
תיקון זמני:לא חל
תודות
הפגיעות הזו התגלתה ודווחה על ידי המכון הלאומי השוויצרי לבדיקות אבטחת סייבר NTC.
היסטוריית תיקונים
גרסה | תאריך | תיאור |
גרסה 1.0 | 26 בדצמבר 2025 | שחרור ראשוני |
הצהרה
כל עדכוני התוכנה, תיקונים, ותיעוד שסופקו על ידי Sungrow Power Supply Co., Ltd. הם עבודה קניינית של Sungrow. חומרים אלו יכולים לשמש רק לתחזוקת המוצר ולשיפורי אבטחה. כל שינוי לא מורשה, הפצה, דה-קומפילציה, או הנדסה הפוכה אסורים לחלוטין.
סאנגרו לא נותנת שום ערבות מפורשת או משתמעת לגבי המידע שסופק, כולל אך לא מוגבל לערבויות של סחירות, התאמה למטרה מסוימת, או אי הפרה. סאנגרו לא תהיה אחראית לכל נזק ישיר, עקיף, מקרי או נזקי תוצאה הנובעים מהשימוש במסמך זה או בתוכנה המשויכת.
Sungrow שומרת לעצמה את הזכות לעדכן או לשנות מסמך זה בכל עת ללא הודעה מוקדמת. הלקוחות אחראים ליישם עדכוני אבטחה בזמן כדי להגן על המערכות שלהם.