CVE-2026-25787
KrytyczneStreszczenie
Urządzenia dotknięte tą podatnością nieprawidłowo walidują i oczyszczają nazwę obiektu technologicznego (TO) wyświetlaną na stronie diagnostyki sterowania ruchem w interfejsie webowym. Umożliwia to uwierzytelnionemu atakującemu, który ma uprawnienia do pobrania projektu TIA, wstrzyknięcie złośliwych skryptów na stronę.
Ocena ryzyka
Złośliwy kod może zostać wykonany w kontekście sesji webowej użytkownika z odpowiednimi uprawnieniami, co stwarza ryzyko przejęcia sesji lub kradzieży danych.
Rekomendacja
Zaleca się wdrożenie odpowiednich mechanizmów walidacji i sanitizacji danych wejściowych w interfejsie webowym oraz monitorowanie dostępu do strony diagnostyki.
Oryginalny opis (angielski, źródło NVD)
Affected devices do not properly validate and sanitize Technology Object (TO) name rendered on the "Motion Control Diagnostics" page of the web interface. This could allow an authenticated attacker who is authorized to download a TIA project into the product, to inject malicious scripts into the page. If a benign user with appropriate rights accesses the "Motion Control Diagnostics" parameters page, the malicious code would be executed in the scope of their web session.

