https://blog.qife122.com/tags/cve-2025-36750/ Recent content in CVE-2025-36750 on 办公AI智能小助手 Hugo zh-cn qife Mon, 15 Dec 2025 10:34:30 +0800 https://blog.qife122.com/p/%E5%8F%A4%E7%91%9E%E7%93%A6%E7%89%B9shinelan-x%E7%94%B5%E7%AB%99%E7%AE%A1%E7%90%86%E9%A1%B5%E9%9D%A2%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ Mon, 15 Dec 2025 10:34:30 +0800 https://blog.qife122.com/p/%E5%8F%A4%E7%91%9E%E7%93%A6%E7%89%B9shinelan-x%E7%94%B5%E7%AB%99%E7%AE%A1%E7%90%86%E9%A1%B5%E9%9D%A2%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ <h1 id="cve-2025-36750古瑞瓦特shinelan-x电站管理页面存储型xss漏洞">CVE-2025-36750：古瑞瓦特ShineLan-X电站管理页面存储型XSS漏洞</h1> <h2 id="漏洞概述">漏洞概述</h2> <p><strong>CVE-2025-36750</strong> 是一个在古瑞瓦特（Growatt） ShineLan-X 产品中被发现的存储型跨站脚本（XSS）漏洞[citation:1]。该漏洞影响版本为 3.6.0.0 至 3.6.0.2 的 ShineLan-X 设备[citation:1]。其根源在于<strong>网页生成过程中对输入内容的不当过滤</strong>（对应通用缺陷枚举 CWE-79），具体发生在“电站名称”（Plant Name）字段[citation:1]。攻击者可以远程发起攻击，利用此漏洞迫使合法用户的浏览器执行恶意代码[citation:1][citation:2]。</p>