Podatność w portalu Growatt Cloud Portal umożliwia atakującemu przesłanie dowolnego pliku w miejscu przeznaczonym na obraz instalacji fotowoltaicznej. Ze względu na brak walidacji przesyłanego pliku i krytyczny poziom oceny CVSS (9.3), podatność stwarza poważne ryzyko dla bezpieczeństwa systemu.
▸ Pokaż oryginał (EN)
An attacker can upload an arbitrary file instead of a plant image.
Mechanizm podatności (sklasyfikowany jako CWE-351 — Insufficient Type Distinction) polega na braku odpowiedniej weryfikacji typu lub zawartości przesyłanego pliku po stronie serwera. Atakujący, bez konieczności uwierzytelnienia, może przesłać dowolny plik — w tym potencjalnie złośliwy kod wykonywalny — zamiast oczekiwanego obrazu instalacji. Serwer nie odróżnia prawidłowego pliku graficznego od pliku o złośliwej zawartości.
Atakujący może uzyskać nieautoryzowany dostęp do zasobów systemu, a w scenariuszu wykonania przesłanego pliku — przejąć kontrolę nad komponentem serwerowym portalu Growatt Cloud Portal, narażając na utratę poufności, integralności oraz dostępności danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje dotyczące dostępnych aktualizacji i zaleceń znajdują się w komunikacie CISA ICS Advisory ICSA-25-105-04 pod adresem https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-04
Growatt Cloud Portal — wersje wskazane w referencjach producenta (doradztwo CISA ICS-CERT ICSA-25-105-04)
Podatność dotyczy infrastruktury zarządzania instalacjami fotowoltaicznymi (OT/ICS). Opracowanie CISA zostało opublikowane 15 kwietnia 2025 r. w ramach serii ICS Advisories.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XGrowatt Cloud Portal
APPGrowatt≤ 3.6.0
Powiązane podatności
XSS w Growatt Cloud Portal — wstrzyknięcie złośliwego kodu JavaScript
An authenticated attacker can achieve stored XSS by exploiting improper sanitization of the plant name value w...
An unauthenticated attacker can infer the existence of usernames in the system by querying an API.
An unauthenticated attacker can hijack other users' devices and potentially control them.
An attacker can export other users' plant information.