Katalog CVE

CVE-2026-25786

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Urządzenia dotknięte tą podatnością nieprawidłowo walidują i sanitizują nazwę PLC/stacji wyświetlaną na stronie parametrów 'komunikacji' w interfejsie webowym. Umożliwia to uwierzytelnionemu atakującemu, który ma uprawnienia do pobrania projektu TIA, wstrzyknięcie złośliwych skryptów na stronę.

Ocena ryzyka

Złośliwy kod może zostać wykonany w kontekście sesji webowej użytkownika, co stwarza ryzyko kradzieży danych lub przejęcia kontroli nad systemem przez atakującego.

Rekomendacja

Zaleca się wdrożenie odpowiednich mechanizmów walidacji i sanitizacji danych wprowadzanych na stronie parametrów 'komunikacji', aby zapobiec wstrzykiwaniu złośliwego kodu.

Oryginalny opis (angielski, źródło NVD)

Affected devices do not properly validate and sanitize PLC/station name rendered on the "communication" parameters page of the web interface. This could allow an authenticated attacker who is authorized to download a TIA project into the product, to inject malicious scripts into the page. If a benign user with appropriate rights accesses the "communication" parameters page, the malicious code would be executed in the scope of their web session.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS