CVE-2025-36748：Growatt ShineLan-X 中的 CWE-79 网页生成期间输入中和不当漏洞（XSS 或“跨站脚本”）

严重性：高 类型：漏洞

CVE：CVE-2025-36748

ShineLan-X 在其本地配置 Web 服务器中存在一个存储型跨站脚本 (XSS) 漏洞。JavaScript 代码片段可以被插入到通信模块的设置中心。这可能允许攻击者强制合法用户的浏览器 JavaScript 引擎运行恶意代码。

技术摘要

CVE-2025-36748 标识了 Growatt ShineLan-X 设备（版本 3.6.0.0）中的一个存储型跨站脚本 (XSS) 漏洞。该漏洞源于设备本地配置 Web 服务器在网页生成期间对输入中和不当，具体发生在通信模块的设置中心。拥有低权限的攻击者可以向设置界面注入恶意的 JavaScript 代码片段，这些代码会被持久化存储。当合法用户访问受影响的 Web 界面时，注入的脚本会在其浏览器上下文中执行，使攻击者能够执行诸如会话劫持、凭据盗窃或在用户浏览器会话中执行未经授权命令等操作。CVSS 4.0 评分为 8.4，反映了严重性级别高，这主要是由于网络攻击途径、无需用户交互以及对机密性和完整性的高影响所致。该漏洞不影响可用性，并且需要低权限即可利用，这表明能够有限访问设备 Web 界面的攻击者即可利用此漏洞。影响范围仅限于受影响的 ShineLan-X 版本 3.6.0.0。目前尚未有已知的公开漏洞利用报告，但考虑到该设备在管理太阳能系统中的角色，存在被利用的潜在风险。在发布时缺乏官方补丁，需要立即采取补偿性控制措施以防止利用。此漏洞归类于 CWE-79，这是一个与输入清理不当相关的常见 Web 应用程序安全缺陷。

潜在影响

对于欧洲组织，特别是那些涉及可再生能源和太阳能管理的组织，此漏洞构成了重大风险。漏洞利用可能导致对太阳能逆变器设置的未经授权控制或操纵，可能中断能源生产或导致运营效率低下。机密性破坏可能暴露敏感的操作数据或用户凭据，而完整性破坏可能允许攻击者更改设备配置或注入恶意命令。鉴于欧洲对智能能源基础设施日益增长的依赖，成功的漏洞利用可能对能源分配和电网稳定性产生连锁反应。此外，攻击者可以利用此漏洞作为在组织网络内横向移动的立足点，增加了更广泛危害的风险。无需用户交互以及能够通过网络远程利用的特性提高了威胁级别。如果该漏洞导致数据泄露或运营中断，组织还可能面临合规性和监管方面的后果。

缓解建议

在官方补丁发布之前，欧洲组织应实施几项具体缓解措施：1）通过实施严格的网络分段和防火墙规则限制对 ShineLan-X Web 界面的访问，仅限受信任的管理员和管理系统访问。2）使用 VPN 或安全隧道远程访问设备的配置界面，以防止暴露在公共互联网上。3）定期审计和监控设备日志及网络流量，查找表明试图或成功利用的异常活动。4）如果可行，禁用或限制通信模块设置中心的使用，或将输入字段限制为仅受信任用户使用。5）教育管理员了解 XSS 的风险，并确保他们不与可疑或未经请求的配置更改进行交互。6）通过维护最新的资产清单和漏洞管理流程，为补丁一旦可用时的快速部署做好准备。7）考虑部署能够检测和阻止针对设备 Web 界面的 XSS 载荷的 Web 应用程序防火墙 (WAF) 或入侵防御系统 (IPS)。这些针对性措施超越了通用建议，专注于适用于 ShineLan-X 环境的访问控制、监控和运营准备状态。

受影响国家

德国，西班牙，意大利，荷兰，法国，比利时

来源： CVE 数据库 V5 发布日期： 2025年12月13日星期六