漏洞概述
在运行 TwinCAT 3 HMI Server 的设备上,经过身份验证的管理员可向自定义 CSS 字段注入任意内容。该内容会被持久化存储,并在后续通过登录页面和错误页面返回,从而可能导致跨站脚本(XSS)攻击。
漏洞详情
- CVE 编号:CVE-2025-41768
- 漏洞类型:存储型跨站脚本(Stored XSS,CWE-79)
- CVSS 评分:5.5(中危),CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
- 影响版本:TwinCAT 3 HMI Server(具体受影响版本未在公告中明确列出)
影响范围
所有部署了 TwinCAT 3 HMI Server 且允许管理员配置自定义 CSS 的设备均可能受到影响。攻击者需具备管理员权限才能触发该漏洞。
风险分析
虽然该漏洞要求攻击者已拥有管理员权限,但由于注入的内容会在登录页和错误页中被渲染,可能被用于针对其他用户(如访客或低权限用户)实施 XSS 攻击,导致会话劫持、钓鱼或信息泄露等风险。由于作用域(Scope)被标记为“已更改”,表明该漏洞可影响其他组件或用户上下文。
修复建议
- 建议用户关注厂商 Beckhoff 官方安全公告,并及时应用发布的安全补丁或升级至修复版本。
- 在补丁发布前,应限制对 HMI Server 管理界面的访问权限,仅允许可信管理员进行配置操作,并避免在自定义 CSS 中使用不可信内容。
