Podatność typu XSS (Cross-Site Scripting) w portalu Growatt Cloud Portal umożliwia atakującym wstrzyknięcie złośliwego kodu JavaScript do przestrzeni osobistych użytkowników. Brak walidacji danych wejściowych po stronie serwera sprawia, że podatność jest szczególnie niebezpieczna i możliwa do wykorzystania bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
Due to lack of server-side input validation, attackers can inject malicious JavaScript code into users personal spaces of the web portal.
Serwer nie weryfikuje poprawnie danych wprowadzanych przez użytkowników, co pozwala atakującemu na umieszczenie złośliwego kodu JavaScript w przestrzeniach osobistych portalu. Wstrzyknięty kod jest następnie wykonywany w przeglądarce ofiary podczas przeglądania zainfekowanej treści. Atak nie wymaga uwierzytelnienia, szczególnych uprawnień ani interakcji ze strony administratora systemu poza standardowym działaniem użytkownika.
Atakujący może przejąć sesję użytkownika, wykraść dane uwierzytelniające lub inne wrażliwe informacje przetwarzane w portalu, a także wykonywać nieautoryzowane działania w imieniu ofiary. W kontekście portalu zarządzającego infrastrukturą energetyczną (fotowoltaika) może to prowadzić do naruszenia poufności i integralności danych instalacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie poradnika bezpieczeństwa CISA ICS Advisory ICSA-25-105-04 pod adresem https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-04 oraz ograniczenie dostępu do portalu wyłącznie do zaufanych sieci.
Growatt Cloud Portal — wersje wskazane w referencjach producenta (poradnik ICS ICSA-25-105-04)
Podatność dotyczy systemu ICS/SCADA (portal zarządzania instalacjami fotowoltaicznymi Growatt). Informacja pochodzi z poradnika CISA ICS Advisory ICSA-25-105-04 opublikowanego 15 kwietnia 2025 roku.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XGrowatt Cloud Portal
APPGrowatt≤ 3.6.0
Powiązane podatności
Growatt Cloud Portal — nieograniczony upload pliku zamiast obrazu instalacji
An authenticated attacker can achieve stored XSS by exploiting improper sanitization of the plant name value w...
An attacker can export other users' plant information.
Unauthenticated attackers can rename arbitrary devices of arbitrary users (i.e., EV chargers).
An unauthenticated attacker can hijack other users' devices and potentially control them.