概述
CVE-2025-41768 是 Beckhoff TwinCAT 3 HMI 服务器中的一个跨站脚本(XSS)漏洞。
漏洞描述
在设备上运行的 TwinCAT 3 HMI 服务器实例中,一个经过身份验证的管理员可以向自定义 CSS 字段注入任意内容。该内容会被持久化存储在设备上,并随后通过登录页面和错误页面返回,从而导致存储型跨站脚本攻击。
受影响产品
目前尚未记录具体受影响的产品版本。
CVSS 评分
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|
| 5.5 | CVSS 3.1 | 中危 | 270ccfa6-a436-4e77-922e-914ec3a9685c | - | - | - |
| 5.5 | CVSS 3.1 | 中危 | - | 2.3 | 2.7 | info@cert.vde.com |
解决方案
通过净化 TwinCAT 3 HMI 服务器上的用户输入来防止 CSS 注入。
- 对所有用户提供的 CSS 内容进行清理。
- 在保存 CSS 输入之前进行验证。
- 将 CSS 字段限制为仅允许安全值。
- 查阅 TwinCAT 3 HMI 服务器文档。
相关引用
CWE - 通用弱点枚举
| CWE ID | 描述 |
|---|
| CWE-79 | 在网页生成过程中对输入的不当中和(“跨站脚本”) |
CAPEC - 常见攻击模式枚举与分类
- CAPEC-63: 跨站脚本 (XSS)
- CAPEC-85: AJAX 足迹分析
- CAPEC-209: 使用 MIME 类型不匹配的 XSS
- CAPEC-588: 基于 DOM 的 XSS
- CAPEC-591: 反射型 XSS
- CAPEC-592: 存储型 XSS
漏洞时间线
漏洞详情变更记录
| 操作 | 类型 | 旧值 | 新值 |
|---|
| 添加 | 描述 | | 在设备上运行的 TwinCAT 3 HMI 服务器实例中,一个经过身份验证的管理员可以向自定义 CSS 字段注入任意内容。该内容会被持久化存储在设备上,并随后通过登录页面和错误页面返回。 |
| 添加 | CVSS V3.1 | | AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N |
| 添加 | CWE | | CWE-79 |
| 添加 | 引用 | | certvde.com/de/advisori… |
| LQuBhaqoQIY4rPtQA72Cjg7QBqM4uFgolxdjEx1zlRj7GZfy0c5vMlipGzr0/5WV | | |
