【Poradnik bezpieczeństwa】 Podatność XSS w Sungrow iSolarCloud(SGSA-202512-122201)
Data publikacji: 26 grudnia 2025
Produkt: iSolarCloud
Identyfikator doradczy: SGSA-202512-122201
Skala: Średni
Data: 2025-12-26
Falowniki
Systemy Magazynowania Energii
Stacje ładowania pojazdów elektrycznych
Pływający System Fotowoltaiczny
Inteligentne Produkty Energetyczne
Opis
Podatność XSS w Sungrow iSolarCloud. Wyświetlanie pseudonimu w interfejsie użytkownika zarządzania tłem jest podatne na XSS. Przeciwnicy mogą wykonać dowolny kod JavaScript za zgodą ofiary. Ataki XSS są często używane do kradzieży poświadczeń lub tokenów logowania innych użytkowników.
Dotknięte wersje
Narażony: · Podatność w usłudze commonService iSolarCloud, która została naprawiona 18 grudnia 2025 roku, narażała system na ryzyka bezpieczeństwa przed jej złagodzeniem.
Nie dotknięty:Luka w usłudze commonService iSolarCloud, która została usunięta 18 grudnia 2025 roku, nie stanowiła ryzyka dla systemu od momentu jej usunięcia.
Ocena Podatności
SGSA-202512-122201: CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
Ocena jest oparta na standardzie CVSS 3.1. Kryteria oceny można odnieść do(https://www.first.org/cvss/calculator/3.1)
Łagodzenie i Remediacja
Zalecana akcja:iSolarCloud został zmodernizowany i naprawiony 18 grudnia 2025 roku, bez działania klienta.
Wydanie łatki:Nie dotyczy.
Tymczasowe Naprawienie:Nie dotyczy.
Podziękowania
Ta luka została odkryta i zgłoszona przez Szwajcarski Narodowy Instytut Testowy ds. Cyberbezpieczeństwa NTC.
informacje kontaktowe
W sprawie problemów bezpieczeństwa dotyczących produktów i rozwiązań Sungrow, prosimy zgłaszać do Sungrow.psirt@sungrowpower.com
Historia wersji
Wersja | Data | Opis |
Wersja 1.0 | 26 grudnia 2025 | Początkowe wydanie |
Oświadczenie
Wszystkie aktualizacje oprogramowania, poprawki i dokumentacja dostarczone przez Sungrow Power Supply Co., Ltd. są własnością Sungrow. Materiały te mogą być używane wyłącznie do konserwacji produktu i poprawy bezpieczeństwa. Wszelkie nieautoryzowane modyfikacje, dystrybucja, dekompilacja lub inżynieria wsteczna są surowo zabronione.
Sungrow nie składa żadnych wyraźnych lub dorozumianych gwarancji dotyczących udostępnianych informacji, w tym, ale nie tylko, gwarancji dotyczących jakości handlowej, przydatności do określonego celu lub nie naruszania praw. Sungrow nie ponosi odpowiedzialności za jakiekolwiek bezpośrednie, pośrednie, przypadkowe lub następujące szkody wynikające z korzystania z tego dokumentu lub powiązanego oprogramowania.
Sungrow zastrzega sobie prawo do aktualizacji lub modyfikacji niniejszego dokumentu w dowolnym momencie bez uprzedniego powiadomienia. Klienci są odpowiedzialni za terminowe wdrażanie aktualizacji bezpieczeństwa w celu ochrony swoich systemów.