2025年05月23日以來�,國家信息安全漏洞共享平臺(CNVD)向我司通報了2個漏洞���,具體的漏洞信息如下:
CNVD-C-2025-272702 北京亞控科技發展有限公司KingPortal開發系統存在XSS漏洞
CNVD-C-2025-272694 北京亞控科技發展有限公司KingPortal開發系統存在存儲型XSS漏洞存在XSS漏洞
漏洞描述:
北京亞控科技發展有限公司KingPortal開發系統在權限設置�,新增處存在存儲型xss漏洞�,攻擊者可構造惡意描述信息�,導致惡意腳本被持久化存儲至系統數據庫中���;當其他用戶(如管理員或開發人員)訪問受污染頁面時,腳本自動執行,可竊取用戶會話Cookie�����、偽造釣魚頁面劫持賬號����、通過AJAX請求竊取敏感數據(如工程配置、用戶權限信息),甚至結合CSRF漏洞進行高危操作(如添加后門賬戶或篡改系統配置)���,最終導致業務數據泄露、未授權訪問或系統控制權淪陷,尤其對工業控制系統(如SCADA)等關鍵場景構成嚴重威脅���。
針對上述漏洞,我司及時采取措施,對KingPortal2.0版本進行漏洞驗證與修復��,安全補丁文件詳情如下:
序號 | 故障號 | 漏洞名稱 | 發現時間 | 補丁發布時間 | 補丁文件 | 影響產品 | 修復方法 |
1 | CNVD-C-2025-272702 | 北京亞控科技發展有限公司KingPortal開發系統存在XSS漏洞 | 2025/5/23 | 2025/6/18 |  KingPortal安全補丁.zip
| KingPortal2.0 | 替換補丁文件即可 |
2 | CNVD-C-2025-272694 | 北京亞控科技發展有限公司KingPortal開發系統存在存儲型XSS漏洞存在XSS漏洞 | 2025/5/23 | 2025/6/18 | KingPortal安全補丁.zip | KingPortal2.0 | 替換補丁文件即可 |
為有效應對以上漏洞帶來的安全威脅�����,建議還在使用KingPortal2.0 的用戶及時修復�����。
北京亞控科技發展有限公司
2025年6月18日
