CVE-2026-1695
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 - wyżej niż 11% wszystkich znanych CVE
Streszczenie
Podatność XSS w usługach OAuth PcVue (wersje 12.0.0–16.3.3) umożliwia zdalnemu atakującemu wstrzyknięcie złośliwego kodu na stronę błędu serwera OAuth. Atak wymaga nakłonienia uwierzytelnionego użytkownika do załadowania treści z zewnętrznej strony po nieudanym logowaniu.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży sesji lub danych uwierzytelniających poprzez przejęcie kontekstu przeglądarki ofiary. Atak może prowadzić do nieautoryzowanego dostępu do systemu SCADA i manipulacji procesami przemysłowymi.
Rekomendacja
Należy niezwłocznie zaktualizować PcVue do wersji 16.3.4 lub nowszej, która zawiera poprawkę. Do czasu aktualizacji zablokować dostęp do stron błędów OAuth dla niezaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
An XSS vulnerability affects the OAuth web services used by the WebVue, WebScheduler, TouchVue and SnapVue features of PcVue in version 12.0.0 through 16.3.3 included. It might allow a remote attacker to trick a legitimate user into loading content from another site upon unsuccessful user authentication on an unknown application (unknown client_id). This vulnerability only affects the error page of the OAuth server.

