Plataforma
php
Componente
growatt-cloud-portal
Corrigido em
3.6.0
A vulnerabilidade CVE-2025-24297 é uma falha de Cross-Site Scripting (XSS) no Growatt Cloud portal. Devido à ausência de validação adequada das entradas no servidor, um atacante pode injetar código JavaScript malicioso nos espaços pessoais dos usuários do portal. Essa vulnerabilidade afeta as versões do portal de 0.0 até 3.6.0 e foi corrigida na versão 3.6.0.
Um atacante explorando esta vulnerabilidade pode executar scripts maliciosos no navegador de um usuário, comprometendo a confidencialidade e integridade dos dados. Isso pode incluir o roubo de credenciais de login, a manipulação de informações exibidas no portal e a redireção dos usuários para sites maliciosos. O impacto é ampliado se o atacante conseguir comprometer contas de administradores, permitindo o acesso a dados sensíveis e o controle sobre o portal. A exploração bem-sucedida pode levar à perda de dados, interrupção do serviço e danos à reputação da organização.
A vulnerabilidade foi divulgada em 2025-04-15. Não há informações disponíveis sobre exploração ativa ou sua inclusão no KEV (CISA Known Exploited Vulnerabilities). A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, dada a sua alta pontuação CVSS e o potencial de impacto.
Growatt Cloud portal users running versions 0.0 through 3.6.0 are at risk. This includes solar energy system owners, installers, and monitoring service providers who rely on the portal for managing and analyzing their solar energy systems. Shared hosting environments where multiple users share the same Growatt Cloud portal instance are particularly vulnerable.
• php / web:
curl -I 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep -i 'content-security-policy'• generic web:
curl -s 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep 'alert(1)'disclosure
Status do Exploit
EPSS
0.37% (percentil 58%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para a versão 3.6.0 do Growatt Cloud portal, que corrige a vulnerabilidade. Em ambientes onde a atualização imediata não é possível, implemente medidas de proteção adicionais, como a aplicação de políticas de segurança de conteúdo (CSP) para restringir a execução de scripts inline. Além disso, monitore os logs do portal em busca de atividades suspeitas, como tentativas de injeção de código JavaScript. A validação rigorosa de todas as entradas de usuário no servidor é fundamental para prevenir futuras vulnerabilidades de XSS.
Atualize o portal Growatt Cloud para a versão 3.6.0 ou superior. Esta versão inclui validação de entrada do lado do servidor para prevenir a injeção de código JavaScript malicioso. Consulte as notas da versão para obter mais detalhes sobre a atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-24297 is a critical Cross-Site Scripting (XSS) vulnerability in Growatt Cloud portal versions 0.0 - 3.6.0, allowing attackers to inject malicious JavaScript code.
If you are using Growatt Cloud portal versions 0.0 through 3.6.0, you are potentially affected by this vulnerability.
Upgrade to Growatt Cloud portal version 3.6.0 or later to resolve this vulnerability. Implement CSP headers as a temporary workaround.
While no active exploitation has been confirmed, the high CVSS score suggests a high probability of exploitation. Monitor for any signs of attacks.
Refer to the official Growatt security advisory for detailed information and updates regarding CVE-2025-24297.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.