2025年05月23日以来,国家信息安全漏洞共享平台(CNVD)向我司通报了2个漏洞,具体的漏洞信息如下:
CNVD-C-2025-272702 北京亚控科技发展有限公司KingPortal开发系统存在XSS漏洞
CNVD-C-2025-272694 北京亚控科技发展有限公司KingPortal开发系统存在存储型XSS漏洞存在XSS漏洞
漏洞描述:
北京亚控科技发展有限公司KingPortal开发系统在权限设置,新增处存在存储型xss漏洞,攻击者可构造恶意描述信息,导致恶意脚本被持久化存储至系统数据库中;当其他用户(如管理员或开发人员)访问受污染页面时,脚本自动执行,可窃取用户会话Cookie、伪造钓鱼页面劫持账号、通过AJAX请求窃取敏感数据(如工程配置、用户权限信息),甚至结合CSRF漏洞进行高危操作(如添加后门账户或篡改系统配置),最终导致业务数据泄露、未授权访问或系统控制权沦陷,尤其对工业控制系统(如SCADA)等关键场景构成严重威胁。
针对上述漏洞,我司及时采取措施,对KingPortal2.0版本进行漏洞验证与修复,安全补丁文件详情如下:
序号 | 故障号 | 漏洞名称 | 发现时间 | 补丁发布时间 | 补丁文件 | 影响产品 | 修复方法 |
1 | CNVD-C-2025-272702 | 北京亚控科技发展有限公司KingPortal开发系统存在XSS漏洞 | 2025/5/23 | 2025/6/18 | KingPortal2.0 | 替换补丁文件即可 | |
2 | CNVD-C-2025-272694 | 北京亚控科技发展有限公司KingPortal开发系统存在存储型XSS漏洞存在XSS漏洞 | 2025/5/23 | 2025/6/18 | KingPortal2.0 | 替换补丁文件即可 |
为有效应对以上漏洞带来的安全威胁,建议还在使用KingPortal2.0 的用户及时修复。
北京亚控科技发展有限公司
2025年6月18日
