nvd,anchore_overrides
Growatt
Уязвимости
35
Эксплуатируемые
0
Критический
4
Высокий
4
Топ продуктов
Топ уязвимостей
CVE-2025-36752Связной вязальный сайт Growatt ShineLan-X имеет незарегистрированную учетную запись резервного копирования с недокументированными учетными данными, которая обеспечивает значительный доступ к устройству, например, позволяет любому злоумышленнику получить доступ к Центру настройки. Это означает, что это фактически является бреду для всех устройств, использующих связующий клон Growatt ShineLan-X.
CVE-2025-36747ShineLan-X содержит набор учетных данных для FTP-сервера, который был найден в прошивке, что позволяет тестерам устанавливать небезопасное FTP-соединение с сервером. Это может позволить злоумышленнику заменять законные файлы, развертываемые на устройствах, своими собственными вредоносными версиями, поскольку проверка подписи прошивки не обеспечивается.
CVE-2025-30510Злоумышленник может загрузить произвольный файл вместо изображения растения.
CVE-2025-24297Из-за отсутствия проверки входа на сервер, злоумышленники могут вводить вредоносный код JavaScript в личные пространства веб-порта.
CVE-2025-30511Аутентифицированный злоумышленник может достичь накопленного XSS, используя неправильную санацию значения названия растения при добавлении или редактировании растения.
CVE-2025-36753Интерфейс SWD отображение на связующем узле Growatt ShineLan-X доступен по умолчанию, что позволяет злоумышленнику получить доступ к устройству и извлекать секреты или домены из устройства.
CVE-2025-36750ShineLan-X содержит уязвимость кросс-сайтов (XSS) в поле Имя растения. Полезная нагрузка HTML будет отображаться на странице управления заводом через прямой пост. Это может позволить злоумышленникам заставить движок JavaScript браузера законного пользователя запускать вредоносный код.
CVE-2025-36748ShineLan-X содержит уязвимость кросс-сайтов (XSS) в локальном веб-сервере конфигурации. Фрагнет кода JavaScript может быть вставлен в центр настроек модуля связи. Это может позволить злоумышленникам заставить движок JavaScript браузера законного пользователя запускать вредоносный код.
CVE-2025-31950Неаутентифицированный злоумышленник может получить информацию об энергопотреблении зарядного устройства EV других пользователей.
CVE-2025-31949Аутентифицированный злоумышленник может получить любое название завода, зная идентификатор растения.
CVE-2025-31945Неаутентированный злоумышленник может получить информацию о зарядном устройстве других пользователей.
CVE-2025-31941Неаутентифицированный злоумышленник может получить список интеллектуальных устройств, зная действительное имя пользователя.
CVE-2025-31933Неаутентифицированный злоумышленник может проверить существование имен пользователей в системе, запросив API.
CVE-2025-31654Агрессирующий может получить информацию о группах умных домашних устройств для произвольных пользователей (т.е. "комнаты").
CVE-2025-31360Неаутентифицированные злоумышленники могут инициировать действия устройства, связанные с конкретными «сценами» произвольных пользователей.
CVE-2025-31357Неаутентифицированный злоумышленник может получить список растений пользователя, зная имя пользователя.
CVE-2025-31147Неаутентифицированные злоумышленники могут запросить информацию об общей энергии, потребляемой зарядными устройствами EV произвольных пользователей.
CVE-2025-30514Неаутентифицированные злоумышленники могут получить ограниченную информацию о коллекциях интеллектуальных устройств пользователя (т.е. «сцены»).
CVE-2025-30512Неаутентифицированные злоумышленники могут отправлять настройки конфигурации на устройство и, возможно, выполнять физические действия удаленно (например, включения/выключения).
CVE-2025-30257Неаутентифицированные злоумышленники могут получить серийный номер интеллектуальных счетчиков, связанных с определенной учетной записью пользователя.
CVE-2025-30254Неаутентифицированный злоумышленник может получить серийный номер интеллектуального(ых) счетчика(ов) с использованием имени пользователя его владельца.
CVE-2025-27939Атака может изменять зарегистрированные адреса электронной почты других пользователей и брать на Себя произвольные учетные записи.
CVE-2025-27938Неаутентифицированные злоумышленники могут получить ограниченную информацию о коллекциях смарт-устройств пользователя (т.е. «комната»).
CVE-2025-27929Неаутентифицированные злоумышленники могут получить полный список пользователей, связанных с произвольными учетными записями.
CVE-2025-27927Неаутентифицированные злоумышленники могут получить список интеллектуальных устройств, зная действительное имя пользователя через незащищенный API.