CRITICAL🇬🇧 English

CVE-2026-3010

XSS w Microchip TimePictra – wstrzyknięcie złośliwego skryptu

CVSS 9.3v4.0pub. 2026-02-28upd. 2026-03-10

W oprogramowaniu Microchip TimePictra w wersjach od 11.0 do 11.3 SP2 wykryto podatność Cross-site Scripting (XSS) wynikającą z nieprawidłowej neutralizacji danych wejściowych podczas generowania stron internetowych. Podatność posiada ocenę CVSS 9.3 (CRITICAL), co czyni ją poważnym zagrożeniem dla użytkowników systemu zarządzania synchronizacją czasu.

Pokaż oryginał (EN)

Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Microchip TimePictra allows Query System for Information.This issue affects TimePictra: from 11.0 through 11.3 SP2.

🤖 Analiza AI
Jak działa

Podatność polega na braku właściwego filtrowania i kodowania danych wejściowych przed ich osadzeniem w generowanych stronach HTML aplikacji TimePictra. Atakujący może wstrzyknąć złośliwy kod skryptowy (np. JavaScript), który zostanie wykonany w przeglądarce ofiary. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika po stronie atakującego, a wektorem jest sieć (AV:N), co oznacza możliwość przeprowadzenia go zdalnie. Typ podatności wskazuje na możliwość odpytywania systemu o informacje (Query System for Information) przy użyciu spreparowanych zapytań.

Skutki

Atakujący może uzyskać dostęp do poufnych informacji w kontekście przeglądarki ofiary (np. ciasteczka sesji, tokeny uwierzytelniające) oraz dokonać nieautoryzowanych operacji w imieniu zalogowanego użytkownika, a także potencjalnie odczytać lub zmodyfikować dane prezentowane przez aplikację.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Informacje o aktualizacjach dostępne są pod adresem: https://www.microchip.com/en-us/solutions/technologies/embedded-security/how-to-report-potential-product-security-vulnerabilities/timepictra-stored-cross-site-scripting

Kogo dotyczy

Microchip TimePictra w wersjach od 11.0 do 11.3 SP2 (włącznie).

Uwagi

Opis producenta wskazuje na podatność typu Stored XSS (stored cross-site scripting) zgodnie z tytułem strony referencyjnej. CVE posiada identyfikator z roku 2026, a data publikacji to 2026-02-28.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Microchip Timepictra

    APP
    Microchip
    11.311.0 – 11.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2026-2844CRITICAL9.3PL ✓ten sam produkt

Brak uwierzytelnienia dla funkcji krytycznych w Microchip TimePictra

CVE-2024-7490CRITICAL9.5PL ✓ten sam vendor

RCE przez buffer overflow w serwerze DHCP Microchip Advanced Software Framework

CVE-2023-51438CRITICAL10.0PL ✓ten sam vendor

Nieautoryzowany dostęp w maxView Storage Manager via Redfish Server

CVE-2024-22216CRITICAL10.0PL ✓ten sam vendor

Nieautoryzowany dostęp w Microchip maxView Storage Manager przez serwer Redfish

CVE-2020-27636CRITICAL9.1ten sam vendor

In Microchip MPLAB Net 3.6.1, TCP ISNs are improperly random.