Katalog CVE

CVE-2026-25787

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Urządzenia dotknięte tą podatnością nieprawidłowo walidują i oczyszczają nazwę obiektu technologicznego (TO) wyświetlaną na stronie diagnostyki sterowania ruchem w interfejsie webowym. Umożliwia to uwierzytelnionemu atakującemu, który ma uprawnienia do pobrania projektu TIA, wstrzyknięcie złośliwych skryptów na stronę.

Ocena ryzyka

Złośliwy kod może zostać wykonany w kontekście sesji webowej użytkownika z odpowiednimi uprawnieniami, co stwarza ryzyko przejęcia sesji lub kradzieży danych.

Rekomendacja

Zaleca się wdrożenie odpowiednich mechanizmów walidacji i sanitizacji danych wejściowych w interfejsie webowym oraz monitorowanie dostępu do strony diagnostyki.

Oryginalny opis (angielski, źródło NVD)

Affected devices do not properly validate and sanitize Technology Object (TO) name rendered on the "Motion Control Diagnostics" page of the web interface. This could allow an authenticated attacker who is authorized to download a TIA project into the product, to inject malicious scripts into the page. If a benign user with appropriate rights accesses the "Motion Control Diagnostics" parameters page, the malicious code would be executed in the scope of their web session.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS