Plataforma
php
Componente
growatt-cloud-portal
Corregido en
3.6.0
El CVE-2025-24297 describe una vulnerabilidad de Cross-Site Scripting (XSS) en el portal en la nube Growatt. Esta falla, causada por la falta de validación en la entrada del servidor, permite a los atacantes inyectar código JavaScript malicioso en los espacios personales de los usuarios. La vulnerabilidad afecta a las versiones 0 hasta la 3.6.0 del portal y su explotación puede resultar en el robo de información sensible y el secuestro de sesiones de usuario. Se recomienda actualizar a la versión 3.6.0 para solucionar este problema.
La inyección de JavaScript a través de esta vulnerabilidad XSS permite a un atacante ejecutar código malicioso en el contexto del navegador de la víctima. Esto puede llevar al robo de cookies de sesión, permitiendo al atacante hacerse pasar por el usuario afectado y acceder a información confidencial. Además, el atacante podría redirigir al usuario a sitios web maliciosos, mostrar ventanas emergentes falsas para engañar al usuario, o incluso modificar el contenido de la página web para realizar acciones no autorizadas. La severidad CRÍTICA del CVSS indica un alto riesgo de explotación y un impacto significativo en la confidencialidad e integridad de los datos.
El CVE-2025-24297 fue publicado el 15 de abril de 2025. Actualmente, no se dispone de información sobre campañas de explotación activas o la presencia de la vulnerabilidad en el catálogo KEV de CISA. No se han reportado públicamente pruebas de concepto (PoC) disponibles, pero la naturaleza de la vulnerabilidad XSS implica que es relativamente fácil de explotar una vez identificada la entrada vulnerable.
Growatt Cloud portal users running versions 0.0 through 3.6.0 are at risk. This includes solar energy system owners, installers, and monitoring service providers who rely on the portal for managing and analyzing their solar energy systems. Shared hosting environments where multiple users share the same Growatt Cloud portal instance are particularly vulnerable.
• php / web:
curl -I 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep -i 'content-security-policy'• generic web:
curl -s 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep 'alert(1)'disclosure
Estado del Exploit
EPSS
0.37% (58% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar el CVE-2025-24297 es actualizar el Growatt Cloud portal a la versión 3.6.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales como la validación estricta de todas las entradas del usuario en el lado del servidor. Implementar políticas de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de la inyección de JavaScript al restringir las fuentes de las que se pueden cargar los scripts. Monitorear los registros del servidor en busca de patrones sospechosos de inyección de código también puede ayudar a detectar y responder a posibles ataques.
Actualice el portal Growatt Cloud a la versión 3.6.0 o superior. Esta versión incluye validación de entrada del lado del servidor para prevenir la inyección de código (JavaScript) malicioso. Consulte las notas de la versión para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-24297 is a critical Cross-Site Scripting (XSS) vulnerability in Growatt Cloud portal versions 0.0 - 3.6.0, allowing attackers to inject malicious JavaScript code.
If you are using Growatt Cloud portal versions 0.0 through 3.6.0, you are potentially affected by this vulnerability.
Upgrade to Growatt Cloud portal version 3.6.0 or later to resolve this vulnerability. Implement CSP headers as a temporary workaround.
While no active exploitation has been confirmed, the high CVSS score suggests a high probability of exploitation. Monitor for any signs of attacks.
Refer to the official Growatt security advisory for detailed information and updates regarding CVE-2025-24297.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.