Cross Site Scripting (XSS) en productos de Leviton
Están afectadas las siguientes versiones de Leviton AcquiSuite y Leviton Energy Monitoring Hub:
- AcquiSuite, versión A8810;
- Energy Monitoring Hub, versión A8812.
Notnotnotveg ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante crear una carga maliciosa en los parámetros de una URL, que se ejecutaría en el navegador del usuario al acceder a ella, robando los tokens de sesión y tomando el control del servicio.
Leviton no ha respondido a las solicitudes para trabajar con CISA en la mitigación de esta vulnerabilidad. Los usuarios de estos productos afectados pueden ponerse en contacto con el servicio de atención al cliente de Leviton para obtener información adicional.
Los productos afectados son susceptibles a una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS), lo que permite a un atacante crear una carga maliciosa en los parámetros de URL, que se ejecutaría en un navegador de cliente cuando se accede por un usuario, robar tokens de sesión y controlar el servicio.
Se ha asignado el identificador CVE-2025-6185 para esta vulnerabilidad.
