公開日:2025/04/16 最終更新日:2025/04/16

JVNVU#92061889
Growatt製Cloud portalにおける複数の脆弱性

概要

Growattが提供するCloud portalには、複数の脆弱性が存在します。

影響を受けるシステム

  • Growatt Cloud portal 3.6.0 およびそれ以前のバージョン

詳細情報

Growattが提供するCloud portalには、次の複数の脆弱性が存在します。

  • クロスサイトスクリプティング(CWE-79)
    • CVE-2025-30511、CVE-2025-24297
  • ユーザ識別情報操作による権限チェック回避(CWE-639)
    • CVE-2025-31933、CVE-2025-31949、CVE-2025-31357、CVE-2025-31941、CVE-2025-24487、CVE-2025-27568、CVE-2025-30254、CVE-2025-27939、CVE-2025-27938、CVE-2025-30514、CVE-2025-31654、CVE-2025-27719、CVE-2025-26857、CVE-2025-31945、CVE-2025-31950、CVE-2025-27575、CVE-2025-27565、CVE-2025-25276、CVE-2025-24850、CVE-2025-27927、CVE-2025-31360、CVE-2025-31147、CVE-2025-30257、CVE-2025-27561、CVE-2025-24315、CVE-2025-27929
  • 型の識別が不十分(CWE-351)
    • CVE-2025-30510
  • システム構成または設定の外部制御(CWE-15)
    • CVE-2025-30512

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 認証済みの攻撃者によって、不正なスクリプトを実行される(CVE-2025-30511)
  • APIへの問い合わせでシステム内のユーザー名の存在を確認される(CVE-2025-31933、CVE-2025-24487)
  • プラントIDを知られ、任意のプラント名を取得される(CVE-2025-31949)
  • ユーザー名を知られ、ユーザーのプラントリストを取得される(CVE-2025-31357)
  • 有効なユーザー名を知られ、スマートデバイスのリストを取得される(CVE-2025-31941)
  • ユーザー名を知られ、ユーザーのEメールを取得される(CVE-2025-27568)
  • オーナーのユーザー名を使用してスマートメーターのシリアル番号を取得される(CVE-2025-30254)
  • 他のユーザーの登録メールアドレスを変更され、任意のアカウントを乗っ取られる(CVE-2025-27939)
  • ユーザーのスマートデバイスコレクションに関する制限された情報を取得される(CVE-2025-27938、CVE-2025-30514)
  • 任意のユーザーのスマートホームデバイスのグループに関する情報を取得される(CVE-2025-31654)
  • APIへの問い合わせでデバイスの詳細を取得される(CVE-2025-27719)
  • 任意のユーザーの任意のデバイス名を変更される(CVE-2025-26857)
  • 他のユーザーの充電器情報を取得される(CVE-2025-31945)
  • 他のユーザーのEV充電器のエネルギー消費情報を取得される(CVE-2025-31950)
  • 充電器IDを知られ、EV充電器のバージョンとファームウェアのアップグレード履歴を取得される(CVE-2025-27575)
  • ユーザーとルームのIDを知られ、任意のユーザーの「rooms」を削除される(CVE-2025-27565)
  • 他のユーザーのデバイスを乗っ取られ、そのデバイスを制御される(CVE-2025-25276)
  • 他のユーザーのプラント情報をエクスポートされる(CVE-2025-24850)
  • プラント画像の代わりに任意のファイルをアップロードされる(CVE-2025-30510)
  • 当該ウェブポータルのユーザーパーソナルスペースに悪意のあるJavaScriptコードを挿入される(CVE-2025-24297)
  • 保護されていないAPIを介して有効なユーザー名を知られ、スマートデバイスのリストを取得される(CVE-2025-27927)
  • 設定をデバイスに送信され、リモートでオン/オフなどの物理的なアクションを実行される(CVE-2025-30512)
  • 任意のユーザーの特定の「scenes」に関連付けられたデバイスアクションを引き起こされる(CVE-2025-31360)
  • 任意のユーザーのEV充電器が消費する総エネルギーに関する情報を照会される(CVE-2025-31147)
  • 特定のユーザーアカウントに関連付けられたスマートメーターのシリアル番号を取得される(CVE-2025-30257)
  • 任意のユーザーの「rooms」の名前を変更される(CVE-2025-27561)
  • 他のユーザーのデバイスを自分のscenesまたは他の任意のユーザーの任意のscenesに追加される(CVE-2025-24315)
  • 任意のアカウントに関連付けられたユーザーの全リストを取得される(CVE-2025-27929)

対策方法

アップデートする
開発者は、アップデートを提供しています。
更新は自動的に行われるため、ユーザーの操作は必要ないとのことです。
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。
詳細はICS Advisoryの情報を確認するか、セキュリティ上の懸念事項がある場合はGrowatt(Service@Growatt.com)に連絡してください。

ベンダ情報

ベンダ リンク
Growatt お問い合わせ

参考情報

  1. ICS Advisory | ICSA-25-105-04
    Growatt Cloud Applications

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia