प्लेटफ़ॉर्म
php
घटक
growatt-cloud-portal
में ठीक किया गया
3.6.0
Growatt Cloud Portal में एक गंभीर क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। इस भेद्यता के कारण, हमलावर उपयोगकर्ताओं के निजी स्थानों में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकते हैं, जिससे संभावित रूप से संवेदनशील जानकारी चोरी हो सकती है या उपयोगकर्ता के खाते पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता Growatt Cloud Portal के संस्करण 0.0 से 3.6.0 तक के संस्करणों को प्रभावित करती है। संस्करण 3.6.0 में इस समस्या का समाधान किया गया है।
यह XSS भेद्यता हमलावरों को Growatt Cloud Portal उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट चलाने की अनुमति देती है। हमलावर उपयोगकर्ता के सत्र कुकीज़ चुरा सकते हैं, संवेदनशील जानकारी (जैसे लॉगइन क्रेडेंशियल, ऊर्जा उत्पादन डेटा) प्राप्त कर सकते हैं, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकते हैं। इसके अतिरिक्त, हमलावर उपयोगकर्ता के खाते को पूरी तरह से नियंत्रित कर सकते हैं और उनके डेटा को संशोधित या हटा सकते हैं। इस भेद्यता का उपयोग फ़िशिंग हमलों को अंजाम देने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए भी किया जा सकता है। चूंकि Growatt Cloud Portal का उपयोग ऊर्जा निगरानी और प्रबंधन के लिए किया जाता है, इसलिए इस भेद्यता का शोषण ऊर्जा बुनियादी ढांचे पर भी प्रभाव डाल सकता है।
यह भेद्यता सार्वजनिक रूप से 2025-04-15 को घोषित की गई थी। CVE डेटाबेस में इसे शामिल किया गया है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ़-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन XSS भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है। इस भेद्यता का शोषण करने के लिए हमलावरों को Growatt Cloud Portal तक पहुंच की आवश्यकता होगी।
Growatt Cloud portal users running versions 0.0 through 3.6.0 are at risk. This includes solar energy system owners, installers, and monitoring service providers who rely on the portal for managing and analyzing their solar energy systems. Shared hosting environments where multiple users share the same Growatt Cloud portal instance are particularly vulnerable.
• php / web:
curl -I 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep -i 'content-security-policy'• generic web:
curl -s 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep 'alert(1)'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.37% (58% शतमक)
CISA SSVC
CVSS वेक्टर
Growatt Cloud Portal को तुरंत संस्करण 3.6.0 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को रोकने का प्रयास करें, जो इनपुट को फ़िल्टर कर सके। सर्वर-साइड इनपुट सत्यापन को मजबूत करने के लिए कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से सैनिटाइज़ किया गया है। जावास्क्रिप्ट कोड इंजेक्शन के प्रयासों का पता लगाने के लिए लॉगिंग और निगरानी को सक्षम करें। अस्थायी रूप से, उपयोगकर्ता के निजी स्थानों में संवेदनशील जानकारी प्रदर्शित करने से बचें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एक बुनियादी XSS परीक्षण करें।
Growatt Cloud पोर्टल को संस्करण 3.6.0 या उच्चतर में अपडेट करें। इस संस्करण में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्शन को रोकने के लिए सर्वर-साइड इनपुट सत्यापन शामिल है। अपडेट के बारे में अधिक जानकारी के लिए रिलीज़ नोट्स देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-24297 Growatt Cloud Portal में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति देती है।
यदि आप Growatt Cloud Portal के संस्करण 0.0 से 3.6.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Growatt Cloud Portal को तुरंत संस्करण 3.6.0 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करें और इनपुट सत्यापन को मजबूत करें।
हालांकि सार्वजनिक PoC उपलब्ध नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, सक्रिय शोषण की संभावना है।
Growatt की वेबसाइट पर सुरक्षा सलाहकार खोजें या उनके समर्थन से संपर्क करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।