【セキュリティ勧告】サングロー iSolarCloudにおけるXSS脆弱性 (SGSA-202512-122201)

公開日：2025年12月26日

製品iSolarCloud

アドバイザリーID: SGSA-202512-122201

重大度:中程度

日付：2025年12月26日

説明

サングロウ iSolarCloudにおけるXSS脆弱性。バックグラウンド管理Web UIのニックネーム表示はXSSに対して脆弱です。攻撃者は被害者の権限で任意のJavaScriptコードを実行できます。XSS攻撃は、他のユーザーの認証情報やログイントークンを盗むためによく使用されます。

影響を受けるバージョン

脆弱:・2025年12月18日に修正されたiSolarCloud commonServiceの脆弱性は、緩和される前にシステムをセキュリティリスクにさらしていました。

影響なし：iSolarCloud commonServiceの脆弱性は、2025年12月18日に修正され、解決以来システムにリスクはありません。

脆弱性評価

SGSA-202512-122201：CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

スコアリングはCVSS 3.1標準に基づいています。スコアリング基準は（で参照できます。https://www.first.org/cvss/calculator/3.1）

軽減と修復

推奨アクション：iSolarCloudは、2025年12月18日にアップグレードおよび修復されました。お客様の操作は必要ありませんでした。

パッチリリース：該当なし。

一時的な修正：該当なし。

謝辞

この脆弱性は、スイス国立サイバーセキュリティテスト研究所NTCによって発見・報告されました。

連絡先情報

Sungrow製品およびソリューションに関するセキュリティ問題については、Sungrowに報告してください。psirt@sungrowpower.com

改訂履歴

声明

サングロウ電源株式会社が提供するすべてのソフトウェアアップデート、パッチ、および文書は、サングロウの所有物です。これらの資料は製品のメンテナンスとセキュリティ向上のためにのみ使用できます。無断での改変、配布、逆コンパイル、またはリバースエンジニアリングは厳禁です。

サングロウは、提供される情報について、商品性、特定目的への適合性、または非侵害に関する保証を含むがこれに限定されない、明示的または黙示的な保証を一切行いません。サングロウは、この文書または関連ソフトウェアの使用から生じる直接的、間接的、偶発的、または結果的損害について責任を負いません。

Sungrowは、事前の通知なくいつでもこの文書を更新または変更する権利を留保します。顧客は、システムを保護するためにセキュリティアップデートをタイムリーに実装する責任があります。