Уязвимость BDU:2025-10887

Идентификатор: BDU:2025-10887.

Наименование уязвимости: Уязвимость многоплатформенного веб-решения для создания Scada-систем Scada-LTS, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки.

Описание уязвимости: Уязвимость многоплатформенного веб-решения для создания Scada-систем Scada-LTS связана с непринятием мер по защите структуры веб-страницы при обработке параметра alias конечной точки scheduled_events.shtm. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки
Уязвимое ПО: Средство АСУ ТП, Программное средство АСУ ТП SCADA LTD Scada-lts 2.7.8.1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 22.07.2025.
CVSS 2.0: AV:N/AC:L/Au:S/C:N/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Низкий уровень опасности (базовая оценка CVSS 3.1 составляет 3,5)
Низкий уровень опасности (оценка CVSS 4.0 составляет 2)

Возможные меры по устранению:
Компенсирующие меры:
— анализ ограничений XSS-защиты в зависимости от используемого фреймворка и обеспечение соответствующей обработки возникающих исключительных ситуаций;
— использование проверки входных данных по «белым спискам»;
— использование средств межсетевого экранирования уровня веб-приложений..
Статус уязвимости: Потенциальная уязвимость
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2025-9137.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/KarinaGante/KGSec/blob/main/CVEs/Scada-LTS/CVE-2025-9137.md
https://vuldb.com/?submit.620487