CVE-2025-36750：古瑞瓦特ShineLan-X电站管理页面存储型XSS漏洞

漏洞概述

CVE-2025-36750 是一个在古瑞瓦特（Growatt） ShineLan-X 产品中被发现的存储型跨站脚本（XSS）漏洞[citation:1]。该漏洞影响版本为 3.6.0.0 至 3.6.0.2 的 ShineLan-X 设备[citation:1]。其根源在于网页生成过程中对输入内容的不当过滤（对应通用缺陷枚举 CWE-79），具体发生在“电站名称”（Plant Name）字段[citation:1]。攻击者可以远程发起攻击，利用此漏洞迫使合法用户的浏览器执行恶意代码[citation:1][citation:2]。

技术细节

该漏洞的技术机理如下：

攻击入口：漏洞位于电站管理页面的“电站名称”字段[citation:1]。
利用方式：攻击者通过发起直接的 POST 请求，向该字段提交一个特制的 HTML 负载[citation:1]。
漏洞触发：由于缺乏充分的输入清理或输出编码，该恶意负载会被存储并在电站管理页面上原样渲染[citation:1]。
最终影响：当受害者（如系统管理员）访问该管理页面时，其浏览器会在 ShineLan-X 网络应用的安全上下文中，自动执行被注入的 JavaScript 代码[citation:1]。

CVSS 4.0 评分与向量

该漏洞的严重性评级为高危[citation:1]。其CVSS 4.0向量字符串为：CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:L/SC:H/SI:H/SA:H，基础得分为 8.5[citation:1]。关键指标解读如下：

攻击向量（AV）：网络（N）
攻击复杂度（AC）：低（L）
所需权限（PR）：低（L）
用户交互（UI）：无（N）
影响范围：对系统的机密性（SC）、完整性（SI）、可用性（SA）均造成高影响（H）[citation:1]。

潜在影响

成功利用此漏洞可能导致多种严重后果：

会话劫持：窃取用户的会话令牌（如Cookie），从而劫持其账户[citation:1]。
数据操纵：篡改电站管理数据，影响太阳能发电系统的正常运行[citation:1]。
未授权操作：利用受害者的浏览器在应用内执行未经授权的操作[citation:1]。
后续攻击跳板：被攻破的系统可能成为攻击者进一步渗透组织内部网络的据点[citation:1]。

缓解与修复建议

由于在漏洞公开时尚无官方补丁可用，建议立即采取以下补偿性控制措施[citation:1]：

实施输入验证与输出编码：对“电站名称”字段实施严格的输入验证和输出编码，防止恶意脚本注入[citation:1]。
限制访问权限：将 ShineLan-X 管理界面的访问权限限制在可信网络和具有最低必要权限的用户范围内[citation:1]。
部署Web应用防火墙（WAF）：配置WAF规则以检测和拦截针对XSS负载模式的攻击尝试[citation:1]。
加强监控与日志审计：监控日志中异常的POST请求或意料之外的脚本执行行为[citation:1]。
网络隔离：考虑将ShineLan-X管理系统与更广泛的企业网络隔离，以限制威胁横向移动[citation:1]。
关注官方更新：积极与古瑞瓦特协调，在官方发布安全更新后立即应用[citation:1]。

受影响范围

受影响产品：Growatt ShineLan-X[citation:1]
受影响版本：3.6.0.0 至 3.6.0.2[citation:1]
漏洞发现者：Hamid Rahmouni[citation:1]
漏洞分析员：Victor Pasman[citation:1]

此漏洞对于依赖 ShineLan-X 进行太阳能基础设施管理的组织构成了切实的安全风险，建议相关用户高度重视并尽快采取行动。