CVE-2025-24297 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Growatt Cloud Applications 存在 **跨站脚本 (XSS)** 漏洞。 💥 **后果**：攻击者可注入恶意 **JavaScript** 代码，导致用户浏览器执行非预期操作，严重威胁账号安全与数据完整性。

🔍 **CWE**：CWE-79 (跨站脚本)。 🛠️ **缺陷点**：**服务器端输入验证不足**。系统未对输入数据进行严格过滤或转义，导致恶意脚本得以注入。

🏢 **厂商**：Growatt (古瑞瓦特)。 📦 **产品**：Cloud portal (监控平台)。 ⚠️ **版本**：**3.6.0 及之前版本**均受影响。

🕵️ **权限**：无需特殊权限即可触发。 📊 **数据**：可窃取 **Cookie/Session**、劫持用户会话、篡改页面内容、重定向用户，甚至作为跳板进行进一步攻击。

📉 **门槛**：**极低**。 🔑 **认证**：CVSS 显示 **PR:N** (无需认证)。 🖱️ **交互**：**UI:N** (无需用户交互)，说明可能是反射型或存储型 XSS，自动触发风险高。

📜 **Exp**：当前公开数据中 **PoC 为空**。 🌍 **在野**：暂无明确在野利用报告，但鉴于 CVSS 评分极高，需警惕潜在自动化攻击。

🔎 **自查**：扫描平台是否存在未过滤的 **HTML/JS 标签**。 📡 **检测**：使用 WAF 或 DAST 工具检测 **XSS 特征**，重点关注输入框、搜索栏等交互点。

🛡️ **补丁**：官方已发布安全公告 (CISA ICSA-25-105-04)。 ✅ **建议**：立即升级至 **3.6.0 之后**的最新安全版本，或应用官方提供的修复补丁。

🚧 **临时规避**： 1. 启用 **WAF** 拦截恶意脚本注入。 2. 配置 **CSP (内容安全策略)** 限制脚本执行。 3. 对用户输入进行严格的 **白名单过滤** 和 **HTML 实体编码**。

🔥 **优先级**：**紧急**。 📈 **CVSS**：**9.8 (Critical)**。 💡 **建议**：鉴于无需认证且影响全面 (C/I/A 均为高)，建议 **立即响应**，优先修复或隔离受影响实例。