【Avviso di Sicurezza】Vulnerabilità XSS in Sungrow iSolarCloud(SGSA-202512-122202)
Data di Pubblicazione: 20251226
Prodotto: iSolarCloud
ID di Avviso: SGSA-202512-122202
Gravità: Medio
Data:2025-12-26
Inverter Fotovoltaici
Sistemi per l'accumulo di energia
Caricabatterie per veicoli elettrici
Sistemi fotovoltaici galleggianti
Gestione dell'energia
Descrizione
Vulnerabilità XSS in Sungrow iSolarCloud. La visualizzazione dell'avatar nell'Interfaccia Utente Web di Gestione Sfondo è vulnerabile a XSS. Gli avversari sono in grado di eseguire codice JavaScript arbitrario con il permesso di una vittima. Gli attacchi XSS sono spesso utilizzati per rubare credenziali o token di accesso di altri utenti.
Versioni interessate
Vulnerabile: · La vulnerabilità commonService di iSolarCloud, che è stata risolta il 18 dicembre 2025, aveva esposto il sistema a rischi di sicurezza prima della sua mitigazione.
Non interessato:La vulnerabilità del servizio comune iSolarCloud, che è stata risolta il 18 dicembre 2025, non ha presentato alcun rischio per il sistema dalla sua risoluzione.
Valutazione della Vulnerabilità
SGSA-202512-122202:CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
Il punteggio si basa sullo standard CVSS 3.1. I criteri di punteggio possono essere consultati su
Mitigazione e Bonifica
Azione Raccomandata:L'iSolarCloud è stata aggiornata e riparata il 18 dicembre 2025, senza azione del cliente.
Rilascio di Patch:N/A.
Riparazione Temporanea:N/A.
Riconoscimenti
Questa vulnerabilità è stata scoperta e segnalata dall'Istituto Nazionale Svizzero di Test per la Cybersicurezza NTC.
Informazioni di contatto
Per problemi di sicurezza relativi ai prodotti e alle soluzioni Sungrow, si prega di segnalare a Sungrowpsirt@sungrowpower.com
Cronologia delle revisioni
Versione | Data | Descrizione |
V1.0 | 2025-12-26 | Rilascio iniziale |
Dichiarazione
Tutti gli aggiornamenti software, le patch e la documentazione forniti da Sungrow Power Supply Co., Ltd. sono opere proprietarie di Sungrow. Questi materiali possono essere utilizzati solo per la manutenzione del prodotto e i miglioramenti della sicurezza. Qualsiasi modifica non autorizzata, distribuzione, decompilazione o ingegneria inversa è severamente vietata.
Sungrow non fornisce garanzie espresse o implicite riguardo alle informazioni fornite, incluse ma non limitate a garanzie di commerciabilità, idoneità per uno scopo particolare o non violazione. Sungrow non sarà responsabile per alcun danno diretto, indiretto, incidentale o consequenziale derivante dall'uso di questo documento o del software associato.
Sungrow si riserva il diritto di aggiornare o modificare questo documento in qualsiasi momento senza preavviso. I clienti sono responsabili dell'implementazione tempestiva degli aggiornamenti di sicurezza per proteggere i propri sistemi.