Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-11566

Опубликовано: 30 мая 2025
Источник: fstec
CVSS3: 8.7
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость компонента Items Management Service программного решения для проектирования и оптимизации сервисных процессов Service Process Engineer связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки

Вендор

Dassault Systmes

Наименование ПО

Service Process Engineer

Версия ПО

от 3DEXPERIENCE R2024x до 3DEXPERIENCE R2025x включительно (Service Process Engineer)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,7)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование валидации ввода, все данные должны проходить валидацию и санитизацию перед их отображением на веб-странице;
- использование кодирования динамического контента для предотвращения внедрения исполняемых скриптов;
- использование политики безопасности содержимого (CSP);
- использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода;
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 8%
0.00031
Низкий

8.7 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-4992

CVSS3: 8.7
nvd
8 месяцев назад

A stored Cross-site Scripting (XSS) vulnerability affecting Service Items Management in Service Process Engineer from Release 3DEXPERIENCE R2024x through Release 3DEXPERIENCE R2025x allows an attacker to execute arbitrary script code in user's browser session.

github логотип

GHSA-23hw-vp6g-7987

CVSS3: 8.7
github
8 месяцев назад

A stored Cross-site Scripting (XSS) vulnerability affecting Service Items Management in Service Process Engineer from Release 3DEXPERIENCE R2024x through Release 3DEXPERIENCE R2025x allows an attacker to execute arbitrary script code in user's browser session.

EPSS

Процентиль: 8%
0.00031
Низкий

8.7 High

CVSS3

8.5 High

CVSS2