CRITICALCVE-2025-24297CVSS 9.8

Growatt Cloud ポータルにおけるクロスサイトスクリプティング

プラットフォーム

php

コンポーネント

growatt-cloud-portal

修正版

3.6.0

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-24297は、Growatt Cloud portalにおけるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、サーバーサイドの入力検証が不十分なために発生し、攻撃者が悪意のあるJavaScriptコードをユーザーのパーソナルスペースに注入することを可能にします。影響を受けるバージョンは0から3.6.0までです。バージョン3.6.0で修正が提供されています。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者はユーザーのGrowatt Cloud portalのパーソナルスペースに悪意のあるJavaScriptコードを注入できます。これにより、攻撃者はユーザーのセッションを乗っ取ったり、機密情報を盗んだり、ユーザーを悪意のあるWebサイトにリダイレクトしたりすることが可能になります。攻撃者は、ユーザーがログインしている間にJavaScriptコードを実行し、ユーザーの権限でアクションを実行できます。この脆弱性は、Growatt Cloud portalのセキュリティを著しく損ない、ユーザーのデータとプライバシーを危険にさらす可能性があります。

悪用の状況

この脆弱性は、2025年4月15日に公開されました。現時点では、公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVへの登録状況は不明です。この脆弱性は、Growatt Cloud portalのユーザーにとって重大な脅威となります。

リスク対象者翻訳中…

Growatt Cloud portal users running versions 0.0 through 3.6.0 are at risk. This includes solar energy system owners, installers, and monitoring service providers who rely on the portal for managing and analyzing their solar energy systems. Shared hosting environments where multiple users share the same Growatt Cloud portal instance are particularly vulnerable.

検出手順翻訳中…

• php / web:

curl -I 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep -i 'content-security-policy'

• generic web:

curl -s 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep 'alert(1)'

攻撃タイムライン

2025-04-15Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.37% (58% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgrowatt-cloud-portal

ベンダーGrowatt

影響範囲修正版

0 – 3.6.03.6.0

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2025-04-01
公開日2025-04-15
更新日2025-04-16
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、Growatt Cloud portalをバージョン3.6.0にアップデートすることを推奨します。アップデートがすぐに利用できない場合は、Webアプリケーションファイアウォール(WAF)を使用して、XSS攻撃をブロックすることを検討してください。また、入力検証を強化し、パーソナルスペースへの入力に対するサニタイズ処理を実装することで、脆弱性の影響を軽減できます。WAFルールは、<script>タグやイベントハンドラなどの悪意のあるコードを検出するように設定する必要があります。

修正方法

Growatt Cloud ポータルをバージョン3.6.0以降にアップデートしてください。このバージョンには、悪意のあるJavaScriptコードの注入を防ぐためのサーバーサイドの入力検証が含まれています。詳細については、リリースノートを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-24297 — XSS in Growatt Cloud portalとは何ですか？

CVE-2025-24297は、Growatt Cloud portalのバージョン0–3.6.0において、サーバーサイドの入力検証の欠如により発生するクロスサイトスクリプティング(XSS)脆弱性です。攻撃者は悪意のあるJavaScriptコードをユーザーのパーソナルスペースに注入可能です。

CVE-2025-24297 in Growatt Cloud portalの影響はありますか？

はい、Growatt Cloud portalのバージョン0–3.6.0を使用している場合、この脆弱性により、攻撃者がユーザーのセッションを乗っ取ったり、機密情報を盗んだりする可能性があります。

CVE-2025-24297 in Growatt Cloud portalを修正するにはどうすればよいですか？

Growatt Cloud portalをバージョン3.6.0にアップデートすることを推奨します。アップデートがすぐに利用できない場合は、WAFを使用してXSS攻撃をブロックすることを検討してください。

CVE-2025-24297は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

CVE-2025-24297のGrowatt公式アドバイザリはどこで入手できますか？

Growattの公式Webサイトまたはセキュリティページで、CVE-2025-24297に関するアドバイザリを確認してください。