【Aviso de Seguridad】Vulnerabilidad XSS en Sungrow iSolarCloud (SGSA-202512-122201)
Fecha de publicación: 20251226
Producto: iSolarCloud
ID de Asesoría: SGSA-202512-122201
Severidad: Medio
Fecha: 2025-12-26
Inversor Fotovoltaico
Sistema de almacenamiento de energía
Productos Inteligentes de Energía
Descripción
Vulnerabilidad XSS en Sungrow iSolarCloud. La visualización del apodo en la Interfaz de Usuario Web de Gestión de Fondo es vulnerable a XSS. Los adversarios pueden ejecutar código JavaScript arbitrario con el permiso de una víctima. Los ataques XSS a menudo se usan para robar credenciales o tokens de inicio de sesión de otros usuarios.
Versiones Afectadas
Vulnerable: · La vulnerabilidad commonService de iSolarCloud, que se remedió el 18 de diciembre de 2025, había expuesto el sistema a riesgos de seguridad antes de su mitigación.
No Afectado:La vulnerabilidad commonService de iSolarCloud, que se remedió el 18 de diciembre de 2025, no ha representado ningún riesgo para el sistema desde su resolución.
Calificación de Vulnerabilidad
SGSA-202512-122201:CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
La puntuación se basa en el estándar CVSS 3.1. Los criterios de puntuación se pueden consultar en(https://www.first.org/cvss/calculator/3.1)
Mitigación y remediación
Acción Recomendada:El iSolarCloud ha sido actualizado y reparado el 18 de diciembre de 2025, sin acción del cliente.
Lanzamiento de Parche:N/A.
Solución temporal:N/A.
Agradecimientos
Esta vulnerabilidad fue descubierta y reportada por el Instituto Nacional Suizo de Pruebas de Ciberseguridad NTC.
Información de Contacto
Para problemas de seguridad relacionados con los productos y soluciones de Sungrow, por favor informe a Sungrowpsirt@sungrowpower.com
Historial de revisiones
Versión | Fecha | Descripción |
V1.0 | 26 de diciembre de 2025 | Lanzamiento inicial |
Declaración
Todas las actualizaciones de software, parches y documentación proporcionados por Sungrow Power Supply Co., Ltd. son trabajo propietario de Sungrow. Estos materiales solo pueden usarse para el mantenimiento del producto y mejoras de seguridad. Cualquier modificación no autorizada, distribución, descompilación o ingeniería inversa está estrictamente prohibida.
Sungrow no hace garantías expresas o implícitas con respecto a la información proporcionada, incluyendo pero no limitándose a garantías de comerciabilidad, idoneidad para un propósito particular o no infracción. Sungrow no será responsable por ningún daño directo, indirecto, incidental o consecuente que surja del uso de este documento o software asociado.
Sungrow se reserva el derecho de actualizar o modificar este documento en cualquier momento sin previo aviso. Los clientes son responsables de implementar actualizaciones de seguridad de manera oportuna para proteger sus sistemas.