Platform
php
Component
growatt-cloud-portal
Opgelost in
3.6.0
CVE-2025-24297 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in de Growatt Cloud portal. Deze kwetsbaarheid stelt aanvallers in staat om kwaadaardige JavaScript-code in te voegen in de persoonlijke ruimtes van gebruikers, wat kan leiden tot accountovername en potentieel data-exfiltratie. De kwetsbaarheid treft versies van de portal van 0.0 tot en met 3.6.0. Een patch is beschikbaar in versie 3.6.0.
Een succesvolle exploitatie van CVE-2025-24297 kan leiden tot de volledige overname van gebruikersaccounts binnen de Growatt Cloud portal. Aanvallers kunnen JavaScript-code injecteren die wordt uitgevoerd in de context van de gecompromitteerde gebruiker, waardoor ze toegang kunnen krijgen tot gevoelige informatie, zoals monitoringdata, configuratie-instellingen en mogelijk zelfs toegang tot aangesloten apparaten. De impact kan variëren afhankelijk van de privileges van de gecompromitteerde gebruiker, maar de mogelijkheid tot data-exfiltratie en controle over de portal maakt dit een kritieke kwetsbaarheid. Dit soort XSS-aanvallen kunnen ook worden gebruikt om andere gebruikers te misleiden om kwaadaardige acties uit te voeren, zoals het verstrekken van inloggegevens of het klikken op schadelijke links.
CVE-2025-24297 is een kritieke kwetsbaarheid met een hoge exploitatiekans. Er zijn momenteel geen publieke exploitatiecampagnes bekend, maar de eenvoud van XSS-aanvallen betekent dat deze kwetsbaarheid waarschijnlijk snel zal worden geëxploiteerd. Er zijn geen publieke Proof-of-Concept (POC) exploits beschikbaar op het moment van schrijven. De kwetsbaarheid is gepubliceerd op 2025-04-15.
Growatt Cloud portal users running versions 0.0 through 3.6.0 are at risk. This includes solar energy system owners, installers, and monitoring service providers who rely on the portal for managing and analyzing their solar energy systems. Shared hosting environments where multiple users share the same Growatt Cloud portal instance are particularly vulnerable.
• php / web:
curl -I 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep -i 'content-security-policy'• generic web:
curl -s 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep 'alert(1)'disclosure
Exploit Status
EPSS
0.37% (58% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-24297 is het upgraden van de Growatt Cloud portal naar versie 3.6.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de functionaliteit van de persoonlijke gebruikersruimtes om de potentiële impact van een exploitatie te verminderen. Implementeer strikte Content Security Policy (CSP) headers om de uitvoering van inline scripts te beperken. Monitor de Growatt Cloud portal logs op verdachte activiteiten, zoals ongebruikelijke JavaScript-aanroepen of pogingen tot data-exfiltratie. Na de upgrade, verifieer de fix door te proberen JavaScript-code in te voegen in een persoonlijke gebruikersruimte en te controleren of deze niet wordt uitgevoerd.
Update het Growatt Cloud portaal naar versie 3.6.0 of hoger. Deze versie bevat server-side input validatie om de injectie van kwaadaardige JavaScript code te voorkomen. Raadpleeg de release notes voor meer details over de update.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-24297 is a critical Cross-Site Scripting (XSS) vulnerability in Growatt Cloud portal versions 0.0 - 3.6.0, allowing attackers to inject malicious JavaScript code.
If you are using Growatt Cloud portal versions 0.0 through 3.6.0, you are potentially affected by this vulnerability.
Upgrade to Growatt Cloud portal version 3.6.0 or later to resolve this vulnerability. Implement CSP headers as a temporary workaround.
While no active exploitation has been confirmed, the high CVSS score suggests a high probability of exploitation. Monitor for any signs of attacks.
Refer to the official Growatt security advisory for detailed information and updates regarding CVE-2025-24297.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.