CVE-2025-34263 in WISE-DeviceOn Server
Résumé
par VulDB • 10/06/2026
Les versions d'Advantech WISE-DeviceOn Server antérieures à la 5.4 présentent une vulnérabilité de type cross-site scripting (XSS) stocké dans le point de terminaison /rmm/v1/plugin-config/dashboards/menus. Lorsqu'un utilisateur authentifié ajoute ou modifie un élément de tableau de bord, les valeurs des champs « label » et « path » sont enregistrées dans les données de configuration du plugin puis restituées ultérieurement dans l'interface utilisateur (UI) du tableau de bord sans assainissement HTML approprié. Un attaquant peut injecter un script malveillant dans l'un ou l'autre champ, qui sera ensuite exécuté dans le contexte du navigateur des utilisateurs consultant ou interagissant avec le tableau de bord concerné, permettant potentiellement la compromission de session et l'exécution d'actions non autorisées en tant que victime.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.