Katalog CVE

CVE-2026-1695

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 - wyżej niż 11% wszystkich znanych CVE

Streszczenie

Podatność XSS w usługach OAuth PcVue (wersje 12.0.0–16.3.3) umożliwia zdalnemu atakującemu wstrzyknięcie złośliwego kodu na stronę błędu serwera OAuth. Atak wymaga nakłonienia uwierzytelnionego użytkownika do załadowania treści z zewnętrznej strony po nieudanym logowaniu.

Ocena ryzyka

Ryzyko polega na możliwości kradzieży sesji lub danych uwierzytelniających poprzez przejęcie kontekstu przeglądarki ofiary. Atak może prowadzić do nieautoryzowanego dostępu do systemu SCADA i manipulacji procesami przemysłowymi.

Rekomendacja

Należy niezwłocznie zaktualizować PcVue do wersji 16.3.4 lub nowszej, która zawiera poprawkę. Do czasu aktualizacji zablokować dostęp do stron błędów OAuth dla niezaufanych adresów IP.

Oryginalny opis (angielski, źródło NVD)

An XSS vulnerability affects the OAuth web services used by the WebVue, WebScheduler, TouchVue and SnapVue features of PcVue in version 12.0.0 through 16.3.3 included. It might allow a remote attacker to trick a legitimate user into loading content from another site upon unsuccessful user authentication on an unknown application (unknown client_id). This vulnerability only affects the error page of the OAuth server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS