CVE-2025-34263 in WISE-DeviceOn Serverinformation

Résumé

par VulDB • 10/06/2026

Les versions d'Advantech WISE-DeviceOn Server antérieures à la 5.4 présentent une vulnérabilité de type cross-site scripting (XSS) stocké dans le point de terminaison /rmm/v1/plugin-config/dashboards/menus. Lorsqu'un utilisateur authentifié ajoute ou modifie un élément de tableau de bord, les valeurs des champs « label » et « path » sont enregistrées dans les données de configuration du plugin puis restituées ultérieurement dans l'interface utilisateur (UI) du tableau de bord sans assainissement HTML approprié. Un attaquant peut injecter un script malveillant dans l'un ou l'autre champ, qui sera ensuite exécuté dans le contexte du navigateur des utilisateurs consultant ou interagissant avec le tableau de bord concerné, permettant potentiellement la compromission de session et l'exécution d'actions non autorisées en tant que victime.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

VulnCheck

Réserver

15/04/2025

Divulgation

05/12/2025

Modérer

accepté

Entrée

VDB-334571

CPE

prêt

EPSS

0.00172

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!