Cloud Portal
Уязвимости
30
Эксплуатируемые
0
Макс. CVSS
9.3
Макс. EPSS
0.00734
Распределение по критичности
Критический
2
Высокий
1
Средний
27
Низкий
0
Затронутые диапазоны версий
≤ 3.6.0
Также сопоставлено как (исходные строки): cloud_portal
Топ уязвимостей
CVE-2025-30510Злоумышленник может загрузить произвольный файл вместо изображения растения.
CVE-2025-24297Из-за отсутствия проверки входа на сервер, злоумышленники могут вводить вредоносный код JavaScript в личные пространства веб-порта.
CVE-2025-30511Аутентифицированный злоумышленник может достичь накопленного XSS, используя неправильную санацию значения названия растения при добавлении или редактировании растения.
CVE-2025-31950Неаутентифицированный злоумышленник может получить информацию об энергопотреблении зарядного устройства EV других пользователей.
CVE-2025-31949Аутентифицированный злоумышленник может получить любое название завода, зная идентификатор растения.
CVE-2025-31945Неаутентированный злоумышленник может получить информацию о зарядном устройстве других пользователей.
CVE-2025-31941Неаутентифицированный злоумышленник может получить список интеллектуальных устройств, зная действительное имя пользователя.
CVE-2025-31933Неаутентифицированный злоумышленник может проверить существование имен пользователей в системе, запросив API.
CVE-2025-31654Агрессирующий может получить информацию о группах умных домашних устройств для произвольных пользователей (т.е. "комнаты").
CVE-2025-31360Неаутентифицированные злоумышленники могут инициировать действия устройства, связанные с конкретными «сценами» произвольных пользователей.
CVE-2025-31357Неаутентифицированный злоумышленник может получить список растений пользователя, зная имя пользователя.
CVE-2025-31147Неаутентифицированные злоумышленники могут запросить информацию об общей энергии, потребляемой зарядными устройствами EV произвольных пользователей.
CVE-2025-30514Неаутентифицированные злоумышленники могут получить ограниченную информацию о коллекциях интеллектуальных устройств пользователя (т.е. «сцены»).
CVE-2025-30512Неаутентифицированные злоумышленники могут отправлять настройки конфигурации на устройство и, возможно, выполнять физические действия удаленно (например, включения/выключения).
CVE-2025-30257Неаутентифицированные злоумышленники могут получить серийный номер интеллектуальных счетчиков, связанных с определенной учетной записью пользователя.
CVE-2025-30254Неаутентифицированный злоумышленник может получить серийный номер интеллектуального(ых) счетчика(ов) с использованием имени пользователя его владельца.
CVE-2025-27939Атака может изменять зарегистрированные адреса электронной почты других пользователей и брать на Себя произвольные учетные записи.
CVE-2025-27938Неаутентифицированные злоумышленники могут получить ограниченную информацию о коллекциях смарт-устройств пользователя (т.е. «комната»).
CVE-2025-27929Неаутентифицированные злоумышленники могут получить полный список пользователей, связанных с произвольными учетными записями.
CVE-2025-27927Неаутентифицированные злоумышленники могут получить список интеллектуальных устройств, зная действительное имя пользователя через незащищенный API.
CVE-2025-27719Неаутентифицированные злоумышленники могут запросить конечную точку API и получить детали устройства.
CVE-2025-27575Неаутентифицированный злоумышленник может получить версию зарядного устройства EV и историю обновления прошивки, зная идентификатор зарядного устройства.
CVE-2025-27568Неаутентифицированный злоумышленник может получить электронные письма пользователей, зная имена пользователей. Электронная почта с сброса пароля будет отправлена в ответ на этот нежеланный запрос.
CVE-2025-27565Неаутентифицированный злоумышленник может удалить «комнату» любого пользователя, зная идентификаторы пользователя и комнаты.
CVE-2025-27561Неаутентифицированные злоумышленники могут переименовать «комнаты» произвольных пользователей.