CVE-2025-40943
CriticalSummary
Urządzenia dotknięte tą podatnością nieprawidłowo oczyszczają zawartość plików śledzenia. Może to umożliwić atakującemu wstrzyknięcie kodu poprzez inżynierię społeczną autoryzowanego użytkownika, który ma prawo do funkcji 'Odczyt diagnostyki', aby zaimportować specjalnie przygotowany plik śledzenia.
Risk Assessment
Złośliwy plik śledzenia może być niewystarczająco oczyszczony, co pozwala na wykonanie złośliwego kodu w sesji przeglądarki klienta i wywołanie operacji PLC za pośrednictwem serwera WWW, do których autoryzowany użytkownik ma dostęp. To stwarza poważne zagrożenie dla bezpieczeństwa systemów przemysłowych.
Recommendation
Zaleca się wdrożenie odpowiednich mechanizmów sanitizacji plików śledzenia oraz szkolenie użytkowników w zakresie rozpoznawania prób inżynierii społecznej. Należy również ograniczyć dostęp do funkcji 'Odczyt diagnostyki' tylko do zaufanych użytkowników.
Original NVD description (English source)
Affected devices do not properly sanitize contents of trace files. This could allow an attacker to inject code through social engineering an authorized user, who has the function right "Read diagnostics", to import a specially crafted trace file. The malicious trace file is insufficiently sanitized and malicious code could be executed in the clients browser session and trigger PLC operations via the webserver that the legitimate user is authorized to perform.

