CRITICAL🇬🇧 English

CVE-2025-24297

XSS w Growatt Cloud Portal — wstrzyknięcie złośliwego kodu JavaScript

CVSS 9.3v4.0pub. 2025-04-15upd. 2025-11-14

Podatność typu XSS (Cross-Site Scripting) w portalu Growatt Cloud Portal umożliwia atakującym wstrzyknięcie złośliwego kodu JavaScript do przestrzeni osobistych użytkowników. Brak walidacji danych wejściowych po stronie serwera sprawia, że podatność jest szczególnie niebezpieczna i możliwa do wykorzystania bez uwierzytelnienia.

Pokaż oryginał (EN)

Due to lack of server-side input validation, attackers can inject malicious JavaScript code into users personal spaces of the web portal.

🤖 Analiza AI
Jak działa

Serwer nie weryfikuje poprawnie danych wprowadzanych przez użytkowników, co pozwala atakującemu na umieszczenie złośliwego kodu JavaScript w przestrzeniach osobistych portalu. Wstrzyknięty kod jest następnie wykonywany w przeglądarce ofiary podczas przeglądania zainfekowanej treści. Atak nie wymaga uwierzytelnienia, szczególnych uprawnień ani interakcji ze strony administratora systemu poza standardowym działaniem użytkownika.

Skutki

Atakujący może przejąć sesję użytkownika, wykraść dane uwierzytelniające lub inne wrażliwe informacje przetwarzane w portalu, a także wykonywać nieautoryzowane działania w imieniu ofiary. W kontekście portalu zarządzającego infrastrukturą energetyczną (fotowoltaika) może to prowadzić do naruszenia poufności i integralności danych instalacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie poradnika bezpieczeństwa CISA ICS Advisory ICSA-25-105-04 pod adresem https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-04 oraz ograniczenie dostępu do portalu wyłącznie do zaufanych sieci.

Kogo dotyczy

Growatt Cloud Portal — wersje wskazane w referencjach producenta (poradnik ICS ICSA-25-105-04)

Uwagi

Podatność dotyczy systemu ICS/SCADA (portal zarządzania instalacjami fotowoltaicznymi Growatt). Informacja pochodzi z poradnika CISA ICS Advisory ICSA-25-105-04 opublikowanego 15 kwietnia 2025 roku.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Growatt Cloud Portal

    APP
    Growatt
    ≤ 3.6.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2025-30510CRITICAL9.3PL ✓ten sam produkt

Growatt Cloud Portal — nieograniczony upload pliku zamiast obrazu instalacji

CVE-2025-30511HIGH8.7ten sam produkt

An authenticated attacker can achieve stored XSS by exploiting improper sanitization of the plant name value w...

CVE-2025-24850MEDIUM6.9ten sam produkt

An attacker can export other users' plant information.

CVE-2025-26857MEDIUM6.9ten sam produkt

Unauthenticated attackers can rename arbitrary devices of arbitrary users (i.e., EV chargers).

CVE-2025-25276MEDIUM6.9ten sam produkt

An unauthenticated attacker can hijack other users' devices and potentially control them.

CVE-2025-24297 — XSS w Growatt Cloud Portal — wstrzyknięcie złośliwego kodu JavaScript — CRITICAL 9.3 | CVEbaza.pl