CVE-2026-25786
KrytyczneStreszczenie
Urządzenia dotknięte tą podatnością nieprawidłowo walidują i sanitizują nazwę PLC/stacji wyświetlaną na stronie parametrów 'komunikacji' w interfejsie webowym. Umożliwia to uwierzytelnionemu atakującemu, który ma uprawnienia do pobrania projektu TIA, wstrzyknięcie złośliwych skryptów na stronę.
Ocena ryzyka
Złośliwy kod może zostać wykonany w kontekście sesji webowej użytkownika, co stwarza ryzyko kradzieży danych lub przejęcia kontroli nad systemem przez atakującego.
Rekomendacja
Zaleca się wdrożenie odpowiednich mechanizmów walidacji i sanitizacji danych wprowadzanych na stronie parametrów 'komunikacji', aby zapobiec wstrzykiwaniu złośliwego kodu.
Oryginalny opis (angielski, źródło NVD)
Affected devices do not properly validate and sanitize PLC/station name rendered on the "communication" parameters page of the web interface. This could allow an authenticated attacker who is authorized to download a TIA project into the product, to inject malicious scripts into the page. If a benign user with appropriate rights accesses the "communication" parameters page, the malicious code would be executed in the scope of their web session.

