Cross-site Scripting du portail Growatt Cloud
Plateforme
php
Composant
growatt-cloud-portal
Corrigé dans
3.6.0
La vulnérabilité CVE-2025-24297 est une faille de Cross-Site Scripting (XSS) critique découverte dans le portail Growatt Cloud. Cette faille permet à des attaquants d'injecter du code JavaScript malveillant dans les espaces personnels des utilisateurs du portail web. Elle affecte les versions de Growatt Cloud portal comprises entre 0 et 3.6.0 incluses. Une mise à jour vers la version 3.6.0 corrige cette vulnérabilité.
Impact et Scénarios d'Attaque
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut conduire au vol de cookies de session, au détournement de compte, à la modification de l'interface utilisateur et à la redirection des utilisateurs vers des sites web malveillants. L'attaquant peut potentiellement accéder à des informations sensibles stockées dans le portail, telles que des données de surveillance solaire, des configurations système et des informations d'identification. Le risque est amplifié si le portail est utilisé pour gérer des installations solaires critiques, car un attaquant pourrait potentiellement perturber le fonctionnement de ces installations.
Contexte d'Exploitation
Cette vulnérabilité a été rendue publique le 15 avril 2025. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de sa présence dans le KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement en raison de la simplicité de l'exploitation des failles XSS. La gravité élevée de la vulnérabilité (CVSS 9.8) indique un risque significatif.
Qui Est à Risquetraduction en cours…
Growatt Cloud portal users running versions 0.0 through 3.6.0 are at risk. This includes solar energy system owners, installers, and monitoring service providers who rely on the portal for managing and analyzing their solar energy systems. Shared hosting environments where multiple users share the same Growatt Cloud portal instance are particularly vulnerable.
Étapes de Détectiontraduction en cours…
• php / web:
curl -I 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep -i 'content-security-policy'• generic web:
curl -s 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep 'alert(1)'Chronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.37% (percentile 58%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La solution la plus efficace est de mettre à jour Growatt Cloud portal vers la version 3.6.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, des mesures de protection temporaires peuvent être mises en œuvre. Il est recommandé d'appliquer des règles de filtrage strictes côté serveur pour valider et désinfecter toutes les entrées utilisateur. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les attaques XSS. Surveillez attentivement les journaux d'accès et d'erreurs du portail pour détecter toute activité suspecte. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en tentant d'injecter du code JavaScript malveillant dans les champs d'entrée du portail.
Comment corriger
Mettez à jour le portail Growatt Cloud à la version 3.6.0 ou supérieure. Cette version inclut une validation des entrées côté serveur pour prévenir l'injection de code JavaScript malveillant. Consultez les notes de version pour plus de détails sur la mise à jour.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentestraduction en cours…
What is CVE-2025-24297 — XSS in Growatt Cloud portal?
CVE-2025-24297 is a critical Cross-Site Scripting (XSS) vulnerability in Growatt Cloud portal versions 0.0 - 3.6.0, allowing attackers to inject malicious JavaScript code.
Am I affected by CVE-2025-24297 in Growatt Cloud portal?
If you are using Growatt Cloud portal versions 0.0 through 3.6.0, you are potentially affected by this vulnerability.
How do I fix CVE-2025-24297 in Growatt Cloud portal?
Upgrade to Growatt Cloud portal version 3.6.0 or later to resolve this vulnerability. Implement CSP headers as a temporary workaround.
Is CVE-2025-24297 being actively exploited?
While no active exploitation has been confirmed, the high CVSS score suggests a high probability of exploitation. Monitor for any signs of attacks.
Where can I find the official Growatt advisory for CVE-2025-24297?
Refer to the official Growatt security advisory for detailed information and updates regarding CVE-2025-24297.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.