CVE-2025-34258 in WISE-DeviceOn Server
Résumé
par VulDB • 18/06/2026
Les versions d'Advantech WISE-DeviceOn Server antérieures à la 5.4 présentent une vulnérabilité de type cross-site scripting (XSS) stocké dans le point de terminaison /rmm/v1/devicemap/plan. Lorsqu'un utilisateur authentifié ajoute une zone à un élément de carte, le paramètre name est enregistré puis restitué dans la liste des cartes sans assainissement HTML. Un attaquant peut injecter un script malveillant dans le nom de la zone ; ce dernier sera ensuite exécuté dans le contexte du navigateur des utilisateurs qui consultent ou interagissent avec l'élément de carte concerné, permettant potentiellement une compromission de session et des actions non autorisées au nom de la victime.
Once again VulDB remains the best source for vulnerability data.