【Säkerhetsrådgivning】 XSS-sårbarhet i Sungrow iSolarCloud (SGSA-202512-122202)
Publiceringsdatum: 20251226
Produkt: iSolarCloud
Rådgivnings-ID: SGSA-202512-122202
Allvarlighetsgrad: Mellan
Datum:26 december 2025
Solcellsinverter
Energilagringssystem
Elbilsladdare
Flytande PV-system
Smarta Energiprodukter
Beskrivning
XSS-sårbarhet i Sungrow iSolarCloud. Avatarvisningen i webbgränssnittet för bakgrundshantering är sårbar för XSS. Motståndare kan utföra godtycklig JavaScript-kod med offrets tillstånd. XSS-attacker används ofta för att stjäla autentiseringsuppgifter eller inloggningstokens från andra användare.
Berörda versioner
Sårbar: · I iSolarCloud commonService-sårbarheten, som åtgärdades den 18 december 2025, hade exponerat systemet för säkerhetsrisker före dess mildring.
Inte påverkad:Sårbarheten i iSolarCloud commonService, som åtgärdades den 18 december 2025, har inte utgjort någon risk för systemet sedan dess lösning.
Sårbarhetsbedömning
SGSA-202512-122202: CVSS:6.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
Poängsättningen baseras på CVSS 3.1-standard. Poängkriterierna kan hänvisas till.
Minskning och åtgärd
Rekommenderad åtgärd:iSolarCloud har uppgraderats och reparerats den 18 december 2025, utan kundåtgärd.
Korrigering Release:Ej tillämpligt.
Tillfällig lösning:Ej tillämpligt.
Tack
Denna sårbarhet upptäcktes och rapporterades av Swiss National Test Institute for Cybersecurity NTC.
Kontaktinformation
För säkerhetsproblem gällande Sungrow produkter och lösningar, vänligen rapportera till Sungrowpsirt@sungrowpower.com
Revisionshistorik
Version | Datum | Beskrivning |
V1.0 | 26 december 2025 | Första utgåvan |
Uttalande
Alla programuppdateringar, patches och dokumentation tillhandahållna av Sungrow Power Supply Co., Ltd. är Sungrows egna verk. Dessa material får endast användas för produktunderhåll och säkerhetsförbättringar. Eventuell obehörig modifiering, distribution, dekompilering eller reverse engineering är strikt förbjuden.
Sungrow gör inga uttryckliga eller underförstådda garantier angående den tillhandahållna informationen, inklusive men inte begränsat till garantier för säljbarhet, lämplighet för ett visst ändamål eller icke-kränkning. Sungrow ska inte vara ansvarig för några direkta, indirekta, oavsiktliga eller följdskador som uppstår från användningen av detta dokument eller tillhörande mjukvara.
Sungrow förbehåller sig rätten att uppdatera eller ändra detta dokument när som helst utan föregående meddelande. Kunderna ansvarar för att genomföra säkerhetsuppdateringar i tid för att skydda sina system.