2025年05月23日以來,國家信息安全漏洞共享平臺(CNVD)向我司通報了2個漏洞,具體的漏洞信息如下:
CNVD-C-2025-272702 北京亞控科技發展有限公司KingPortal開發系統存在XSS漏洞
CNVD-C-2025-272694 北京亞控科技發展有限公司KingPortal開發系統存在存儲型XSS漏洞存在XSS漏洞
漏洞描述:
北京亞控科技發展有限公司KingPortal開發系統在權限設置,新增處存在存儲型xss漏洞,攻擊者可構造惡意描述信息,導致惡意腳本被持久化存儲至系統數據庫中;當其他用戶(如管理員或開發人員)訪問受污染頁面時,腳本自動執行,可竊取用戶會話Cookie、偽造釣魚頁面劫持賬號、通過AJAX請求竊取敏感數據(如工程配置、用戶權限信息),甚至結合CSRF漏洞進行高危操作(如添加后門賬戶或篡改系統配置),最終導致業務數據泄露、未授權訪問或系統控制權淪陷,尤其對工業控制系統(如SCADA)等關鍵場景構成嚴重威脅。
針對上述漏洞,我司及時采取措施,對KingPortal2.0版本進行漏洞驗證與修復,安全補丁文件詳情如下:
序號 | 故障號 | 漏洞名稱 | 發現時間 | 補丁發布時間 | 補丁文件 | 影響產品 | 修復方法 |
1 | CNVD-C-2025-272702 | 北京亞控科技發展有限公司KingPortal開發系統存在XSS漏洞 | 2025/5/23 | 2025/6/18 | KingPortal2.0 | 替換補丁文件即可 | |
2 | CNVD-C-2025-272694 | 北京亞控科技發展有限公司KingPortal開發系統存在存儲型XSS漏洞存在XSS漏洞 | 2025/5/23 | 2025/6/18 | KingPortal2.0 | 替換補丁文件即可 |
為有效應對以上漏洞帶來的安全威脅,建議還在使用KingPortal2.0 的用戶及時修復。
北京亞控科技發展有限公司
2025年6月18日
