关键漏洞信息 1. 漏洞概述 产品: Parsons AccuWeather Widget 发布日期: 2023年6月24日 警报代码: ICSA-23-175-05 相关主题: 工业控制系统、Web应用程序、跨站脚本攻击 2. 执行摘要 CVSS v4.8.7 注意: 可利用性高,攻击复杂度低 供应商: Parsons 设备: AccuWeather和Custom RSS widget 漏洞类型: 跨站脚本攻击 (XSS) 3. 风险评估 成功利用此漏洞可能允许攻击者在用户访问RSS feed时插入恶意内容。 4. 技术细节 4.1 影响的产品 Parsons Utility Enterprise Data Management: 版本5.18 Parsons Utility Enterprise Data Management: 版本5.03 Parsons Utility Enterprise Data Management: 版本4.02至4.26 Parsons Utility Enterprise Data Management: 版本5.09 AdtranONE Portal: 版本1.0至1.32 4.2 漏洞概述 CVE-2022-3021: 在AccuWeather和Custom RSS widget中存在一个跨站脚本攻击漏洞,允许未经身份验证的用户通过带有恶意字符串的RSS feed URL进行攻击。 CVE-2022-5012: 与CVE-2022-3021相关的另一个漏洞。 5. 背景 关键基础设施部门: 通信 受影响国家/地区: 全球 公司总部位置: 美国 6. 研究员 Joshua Oliva报告了此漏洞给CISA。 7. 缓解措施 对于Parsons Utility Enterprise Data Management Users: 此漏洞已在所有由Parsons管理的实例中修复。 对于AdtranONE Hosted Users: 此漏洞已在所有由Adtran托管的实例中修复。 对于AdtranONE On-Premise Users: 当客户收到通知后,需要应用补丁并按照Adtran提供的说明进行操作。 8. 更新历史 2023年6月24日: 初始发布