漏洞概述 漏洞名称: Digiwin TVN ID: TVN-202606006 CVE ID: CVE-2026-12580, CVE-2026-12581 CVSS评分: - [CVE-2026-12580] 5.4 (Medium) CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N - [CVE-2026-12581] 7.5 (High) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H:A:H 影响范围 受影响产品: EasyFlow .NET version 8.1.4 and earlier 描述: - [CVE-2026-12580] (Stored Cross-Site Scripting) - 已认证的远程攻击者可以在用户浏览器中注入持久的JavaScript代码,在页面加载时执行。 - [CVE-2026-12581] (Session Fixation) - 如果未认证的远程攻击者替换特定会话ID为用户,他们可以在用户登录后获得用户的权限。 修复方案 解决方案: 更新到版本 8.1.5 或更高版本。 其他信息 Credit: P.K. Hsu Public Date: 2026-06-22 链接 1. CVE-2026-12580 2. CVE-2026-12581 页脚信息 E-mail: twcert@cert.org.tw PGP KEY: TWCERT/CC PGP Public Key Key ID: 0x1E9D1F1B TLP: CLEAR 备注 最佳浏览分辨率:1024 x 768 版权 © TWCERT/CC Taiwan Computer Emergency Response Team / Coordination Center 更新时间:2026-06-24 访问次数:5420055