关键信息 标题: AVEVA Application Server IDE: Persistent Cross Site Scripting Vulnerability 评级: High 发布机构: AVEVA Product Security Response Center 概述: 该安全公告主要解决的是 AVEVA Application Server 的 Integrated Development Environment (IDE) 组件中存在的一处漏洞。受此漏洞影响的版本包括 Application Server 2023 R2 SP1 P02 和所有早期版本。 漏洞技术细节: - 1. 持久性跨站脚本攻击 (XSS) 在 App Objects 的帮助文件中: 当用户向受害用户显示横跨站脚本 (XSS) 注入时,具有 "aaConfigTools" 权限的认证用户可以利用此漏洞篡改 App Objects 的帮助文件,进行持久性跨站脚本攻击,导致特权的水平或垂直升级,但只能在 IDE 组件的配置时操作时被利用,与 Application Server 的运行时组件和操作无关。 相关CVE信息: - CVE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page - CVSSv4.0: 7.2 High - CVSSv3.1: 6.9 Medium - CVE-2025-8386 建议: AVEVA 建议组织根据其操作环境、架构和产品实施来评估这些漏洞的影响。使用受影响产品版本的客户应该应用安全更新以减少漏洞被利用的风险。