• Исследования
  • Уязвимости и угрозы
  • PT-2025-88: Уязвимость веб-интерфейса ПЛК Fastwel, позволяющая нарушителю выполнить XSS-атаку или перенаправить пользователя на произвольный сайт
Высокий8.6
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

PT-2025-88: Уязвимость веб-интерфейса ПЛК Fastwel, позволяющая нарушителю выполнить XSS-атаку или перенаправить пользователя на произвольный сайт

Тип ошибки:

  • CWE-601: URL Redirection to Untrusted Site ('Open Redirect')

  • CWE-79:Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Вектор уязвимости:

  • Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
  • Уровень критичности уязвимости (CVSSv4.0): 8.6 (High)

Описание уязвимости:

В ПЛК Fastwel была выявлена проблема, затрагивающая версии ИМЕС.00320-03 Системы исполнения ПЛК (3.4.5.0 (CPM810-03), 3.4.9.1 (СPM723-01)).

Уязвимость веб-интерфейса управления ПЛК Fastwel связана с отсутствием фильтрации пользовательского ввода в параметре перенаправления. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольный javascript-код в браузере аутентифицированного пользователя путем подмены URL-схемы.

Статус уязвимости: Подтверждена производителем

Дата исправления уязвимости: 10.09.2025

Рекомендации:

Обновление до версий:

  • CPM723-01 3.4.9.5
  • CPM810-03 3.4.5.1

Прочая информация: 

Исследователь: Максим Грузин (Positive Technologies)

Идентификаторы:

BDU:2025-11171

Вендор:

Fastwel

Уязвимый продукт:

CPM810-03, СPM723-01

Уязвимые версии:

3.4.5.0 (CPM810-03), 3.4.9.1 (СPM723-01)