CVE-2026-25787该漏洞存在于西门子受影响设备的Web接口中。由于设备在渲染“运动控制诊断”页面时,未对“技术对象(TO)”名称进行有效的验证和清理,导致存在存储型跨站脚本漏洞。经过身份认证且具有下载TIA项目权限的高权限攻击者,可以向设备中注入恶意脚本。当具有适当权限的良性用户访问该诊断参数页面时,恶意代码将在其Web会话范围内自动执行,进而可能导致会话劫持、数据窃取或进一步的攻击行为。
该漏洞属于典型的存储型XSS。漏洞根源在于后端应用在处理用户提供的“技术对象(TO)”名称时缺乏严格的输入过滤和输出编码。攻击者首先需要具备较高的权限(PR:H),即能够通过TIA Portal将项目下载到受影响的设备中。攻击者可以在本地TIA项目中修改某个TO的名称,将其替换为包含JavaScript代码的恶意Payload(例如 `<script>...</script>` 或事件处理器)。当该项目被下载并加载到目标设备后,恶意Payload被持久化存储在设备的数据库或配置文件中。随后,当管理员或运维人员通过浏览器访问设备的“Motion Control Diagnostics”页面时,后端会从数据库中读取未经过滤的TO名称,并将其直接嵌入到返回的HTML页面中。受害者的浏览器解析到该恶意代码后,会在当前用户的会话上下文中执行它。由于是在受信任的管理员会话中执行,攻击者可以利用此漏洞执行诸如窃取Session ID、篡改设备设置或进行钓鱼攻击等操作。