CVE-2025-64302 - 研华DeviceOn/iEdge跨站脚本漏洞
概述
漏洞描述
仪表板标签或路径中的输入清理不足可能允许攻击者触发设备错误,导致信息泄露或数据操纵。
基本信息
- 发布日期:2025年11月6日 23:15
- 最后修改:2025年11月6日 23:15
- 远程利用:是
- 漏洞来源:ics-cert@hq.dhs.gov
受影响产品
目前尚未记录受影响的具体产品
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
评分详情
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 6.4 | CVSS 3.1 | 中等 | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N | 3.1 | 2.7 | ics-cert@hq.dhs.gov |
| 5.3 | CVSS 4.0 | 中等 | 完整向量字符串 | - | - | ics-cert@hq.dhs.gov |
解决方案
修复措施
- 清理标签中所有用户提供的输入
- 清理路径中所有用户提供的输入
- 为仪表板组件实施输入验证
- 审查敏感数据的访问控制
相关参考
咨询和工具链接
- https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2025/icsa-25-310-01.json
- https://www.advantech.com/emt/contact
- https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-01
弱点枚举
CWE关联
- CWE-79:在网页生成过程中输入清理不当(跨站脚本)
CAPEC攻击模式
- CAPEC-63:跨站脚本(XSS)
- CAPEC-85:AJAX指纹识别
- CAPEC-209:使用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
漏洞时间线
历史记录
2025年11月6日 - 由ics-cert@hq.dhs.gov接收新CVE
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 标签 | - | unsupported-when-assigned |
| 添加 | 描述 | - | 仪表板标签或路径中的输入清理不足可能允许攻击者触发设备错误导致信息泄露或数据操纵 |
| 添加 | CVSS V4.0 | - | 完整向量字符串 |
| 添加 | CVSS V3.1 | - | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| 添加 | CWE | - | CWE-79 |
| 添加 | 参考链接 | - | 三个相关链接 |
漏洞评分详情
CVSS 4.0基准分数:5.3
CVSS 3.1基准分数:6.4
攻击向量:网络 攻击复杂度:低 所需权限:低 用户交互:无 范围:已更改 机密性影响:低 完整性影响:低 可用性影响:无