CVE-2025-24297 描述了 Growatt Cloud portal 中的一个跨站脚本 (XSS) 漏洞。由于缺乏服务器端输入验证,攻击者可以利用此漏洞将恶意 JavaScript 代码注入到用户的个人空间中,从而可能导致会话劫持、信息窃取或其他恶意行为。此漏洞影响 Growatt Cloud portal 的 0 到 3.6.0 版本。已发布修复程序,建议立即升级至 3.6.0 版本。
此 XSS 漏洞允许攻击者在受影响的 Growatt Cloud portal 用户个人空间中执行任意 JavaScript 代码。攻击者可以利用此漏洞窃取用户的会话 Cookie,从而冒充用户执行操作。此外,攻击者还可以利用此漏洞显示虚假内容、重定向用户到恶意网站或执行其他恶意行为。由于漏洞的严重性评分为 9.8 (CRITICAL),因此可能对用户数据安全和系统完整性造成严重威胁。攻击者可能利用此漏洞访问敏感数据,例如用户配置信息、监控数据等,并可能进一步进行横向移动,攻击其他连接到 Growatt Cloud portal 的系统。
此漏洞已于 2025 年 4 月 15 日公开披露。目前尚无公开的利用程序 (PoC),但由于漏洞的严重性,预计未来可能会出现。该漏洞尚未被添加到 CISA KEV 目录中。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Growatt Cloud portal users running versions 0.0 through 3.6.0 are at risk. This includes solar energy system owners, installers, and monitoring service providers who rely on the portal for managing and analyzing their solar energy systems. Shared hosting environments where multiple users share the same Growatt Cloud portal instance are particularly vulnerable.
• php / web:
curl -I 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep -i 'content-security-policy'• generic web:
curl -s 'https://your-growatt-portal.com/personal_space?input=<script>alert(1)</script>' | grep 'alert(1)'disclosure
漏洞利用状态
EPSS
0.37% (58% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的首要措施是立即升级 Growatt Cloud portal 至 3.6.0 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:实施严格的输入验证和输出编码策略,以防止恶意 JavaScript 代码的注入。限制用户个人空间的访问权限,只允许授权用户访问敏感数据。定期审查用户个人空间的内容,以检测和删除任何可疑代码。如果可能,使用 Web 应用防火墙 (WAF) 来过滤恶意请求,并阻止 XSS 攻击。升级后,请确认漏洞已修复,可以通过尝试在用户个人空间中注入简单的 JavaScript 代码来验证。
将 Growatt Cloud 门户更新到 3.6.0 或更高版本。此版本包含服务器端输入验证,以防止恶意 JavaScript 代码注入。请参阅版本说明以获取有关更新的更多详细信息。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-24297 是 Growatt Cloud portal 中的一个跨站脚本 (XSS) 漏洞,攻击者可以注入恶意 JavaScript 代码到用户个人空间。
如果您正在使用 Growatt Cloud portal 的 0 到 3.6.0 版本,则您可能受到此漏洞的影响。
立即升级 Growatt Cloud portal 至 3.6.0 或更高版本。
目前尚无公开的利用程序,但由于漏洞的严重性,预计未来可能会出现。
请访问 Growatt 官方网站或联系 Growatt 技术支持获取官方公告。