CVE-2025-41751

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

09/12/2025

Última modificación:

19/12/2025

Descripción

*** Pendiente de traducción *** An XSS vulnerability in pxc_portCntr.php can be used by an unauthenticated remote attacker to trick an authenticated user to click on the link provided by the attacker in order to change parameters available via web based management (WBM). The vulnerability does not provide access to system-level resources such as operating system internals or privileged functions. Access is limited to device configuration parameters that are available in the context of the web application. The session cookie is secured by the httpOnly Flag. Therefore an attacker is not able to take over the session of an authenticated user.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

7.10

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:phoenixcontact:fl_nat_2008_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_nat_2008:-:::::::*
cpe:2.3:o:phoenixcontact:fl_nat_2208_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_nat_2208:-:::::::*
cpe:2.3:o:phoenixcontact:fl_nat_2304-2gc-2sfp_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_nat_2304-2gc-2sfp:-:::::::*
cpe:2.3:o:phoenixcontact:fl_switch_2005_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_switch_2005:-:::::::*
cpe:2.3:o:phoenixcontact:fl_switch_2008_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_switch_2008:-:::::::*
cpe:2.3:o:phoenixcontact:fl_switch_2008f_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_switch_2008f:-:::::::*
cpe:2.3:o:phoenixcontact:fl_switch_2016_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_switch_2016:-:::::::*
cpe:2.3:o:phoenixcontact:fl_switch_2105_firmware::::::::		3.50 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://certvde.com/de/advisories/VDE-2025-071

CPE	Desde	Hasta
cpe:2.3:o:phoenixcontact:fl_nat_2008_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_nat_2008:-:::::::*
cpe:2.3:o:phoenixcontact:fl_nat_2208_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_nat_2208:-:::::::*
cpe:2.3:o:phoenixcontact:fl_nat_2304-2gc-2sfp_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_nat_2304-2gc-2sfp:-:::::::*
cpe:2.3:o:phoenixcontact:fl_switch_2005_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_switch_2005:-:::::::*
cpe:2.3:o:phoenixcontact:fl_switch_2008_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_switch_2008:-:::::::*
cpe:2.3:o:phoenixcontact:fl_switch_2008f_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_switch_2008f:-:::::::*
cpe:2.3:o:phoenixcontact:fl_switch_2016_firmware::::::::		3.50 (excluyendo)
cpe:2.3:h:phoenixcontact:fl_switch_2016:-:::::::*
cpe:2.3:o:phoenixcontact:fl_switch_2105_firmware::::::::		3.50 (excluyendo)