CVE-2025-36754：固德威ShineLan-X设备中的CWE-290身份验证绕过漏洞 - 实时威胁情报

严重性： 严重 类型： 漏洞

CVE-2025-36754

Web界面上的身份验证机制未正确实现。由于没有会话令牌或身份验证机制，攻击者可以通过构造包含新设置的POST请求来绕过身份验证检查。例如，这将允许攻击者将设备的域名解析指向任意地址，以方便发起中间人（MitM）攻击。

AI分析

技术摘要

CVE-2025-36754是一个身份验证绕过漏洞，归类于CWE-290，影响固德威（Growatt）ShineLan-X光伏逆变器的Web界面，具体为版本3.6.0.0。根本原因是设备Web界面上缺乏适当的身份验证机制，如会话令牌或凭据检查。这使得拥有低权限和本地网络访问权限的攻击者能够构造POST请求，无需认证即可修改设备设置。一个可以被篡改的关键设置是域名解析地址，可将其指向攻击者控制的服务器。这种操纵可以通过将合法的设备流量重定向到恶意端点，从而促进中间人（MitM）攻击，可能损害通信的机密性和完整性。该漏洞的CVSS 4.0评分为9.3，反映了其严重性，原因在于对机密性、完整性和可用性的影响高、无需用户交互即可轻松利用，并且能够影响多个安全属性。虽然目前尚未发现野外利用，但该漏洞的性质以及光伏逆变器在能源基础设施中的关键作用使其成为一个重大威胁。缺乏身份验证还意味着，即使是本地网络上的低权限攻击者也可以利用此漏洞，从而增加了攻击面。该漏洞于2025年12月公开披露，目前尚无补丁可用，强调了立即采取补偿控制措施的必要性。

潜在影响

对于欧洲的组织机构而言，此漏洞的影响是巨大的，特别是那些在其太阳能基础设施中依赖固德威ShineLan-X设备的机构。成功利用可导致未经授权的配置更改，使攻击者能够将设备通信重定向到恶意服务器。这可能导致敏感操作数据的拦截或篡改、能源生产监控的中断以及对能源管理系统的潜在破坏。光伏逆变器运行的完整性和可用性可能受到损害，影响能源供应的可靠性。此外，该漏洞可能被用作在关键基础设施环境内进行更广泛网络入侵或横向移动的立足点。鉴于欧洲对可再生能源的日益依赖，此类中断可能会对电网和法规标准合规性产生连锁反应。该漏洞无需用户交互即可轻松利用且权限要求低，进一步加剧了风险，尤其是在网络分段或设备访问控制不足的环境中。

缓解建议

立即的缓解步骤包括：通过实施严格的防火墙规则和网络分段来限制对ShineLan-X Web界面的网络访问，仅将设备暴露给受信任的管理网络。组织应监控网络流量，查找表明利用尝试的异常DNS查询或配置更改。部署入侵检测系统（IDS）或定制的异常检测，以检测对设备Web界面的未经授权POST请求，可提供早期预警。在官方补丁发布之前，如果可行，考虑禁用远程管理功能。采用网络级DNS过滤或DNS安全扩展（DNSSEC）来防止重定向到恶意DNS服务器。定期审计设备配置和日志，以及时检测未经授权的更改。与供应商联系获取补丁时间表，并在发布后立即应用更新。此外，应将此漏洞纳入事件响应计划，并对员工进行相关识别征兆的培训。

受影响国家

德国、法国、意大利、西班牙、荷兰、比利时、英国、波兰

来源： CVE数据库 V5 发布日期： 2025年12月13日，星期六

技术细节

• 数据版本： 5.2
• 分配者简称： DIVD
• 日期预留： 2025-04-15T21:54:36.815Z
• CVSS版本： 4.0
• 状态： 已发布