W oprogramowaniu Microchip TimePictra w wersjach od 11.0 do 11.3 SP2 wykryto podatność Cross-site Scripting (XSS) wynikającą z nieprawidłowej neutralizacji danych wejściowych podczas generowania stron internetowych. Podatność posiada ocenę CVSS 9.3 (CRITICAL), co czyni ją poważnym zagrożeniem dla użytkowników systemu zarządzania synchronizacją czasu.
▸ Pokaż oryginał (EN)
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Microchip TimePictra allows Query System for Information.This issue affects TimePictra: from 11.0 through 11.3 SP2.
Podatność polega na braku właściwego filtrowania i kodowania danych wejściowych przed ich osadzeniem w generowanych stronach HTML aplikacji TimePictra. Atakujący może wstrzyknąć złośliwy kod skryptowy (np. JavaScript), który zostanie wykonany w przeglądarce ofiary. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika po stronie atakującego, a wektorem jest sieć (AV:N), co oznacza możliwość przeprowadzenia go zdalnie. Typ podatności wskazuje na możliwość odpytywania systemu o informacje (Query System for Information) przy użyciu spreparowanych zapytań.
Atakujący może uzyskać dostęp do poufnych informacji w kontekście przeglądarki ofiary (np. ciasteczka sesji, tokeny uwierzytelniające) oraz dokonać nieautoryzowanych operacji w imieniu zalogowanego użytkownika, a także potencjalnie odczytać lub zmodyfikować dane prezentowane przez aplikację.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Informacje o aktualizacjach dostępne są pod adresem: https://www.microchip.com/en-us/solutions/technologies/embedded-security/how-to-report-potential-product-security-vulnerabilities/timepictra-stored-cross-site-scripting
Microchip TimePictra w wersjach od 11.0 do 11.3 SP2 (włącznie).
Opis producenta wskazuje na podatność typu Stored XSS (stored cross-site scripting) zgodnie z tytułem strony referencyjnej. CVE posiada identyfikator z roku 2026, a data publikacji to 2026-02-28.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMicrochip Timepictra
APPMicrochip11.311.0 – 11.3
Powiązane podatności
Brak uwierzytelnienia dla funkcji krytycznych w Microchip TimePictra
RCE przez buffer overflow w serwerze DHCP Microchip Advanced Software Framework
Nieautoryzowany dostęp w maxView Storage Manager via Redfish Server
Nieautoryzowany dostęp w Microchip maxView Storage Manager przez serwer Redfish
In Microchip MPLAB Net 3.6.1, TCP ISNs are improperly random.