关键漏洞信息 漏洞名称: Cross Site Scripting Vulnerability in Polarion Before V2506 漏洞编号: CVE-2025-40587 发布日期: 2026-02-10 当前版本: V1.0 CVSS v3.1 基础分数: 7.6 CVSS v4.0 基础分数: 6.2 受影响产品及版本 漏洞描述 漏洞类型: 存储型跨站脚本(XSS) 描述: 受影响的应用程序允许在文档标题中包含任意 JavaScript 代码。这可能导致经过身份验证的远程攻击者通过创建特殊设计的文档标题来执行存储型跨站脚本攻击,这些文档标题之后会被应用程序的其他用户查看。 CVSS 向量 (v3.1): CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N CVSS 向量 (v4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:L/VA:N/SC:H/SI:L/SA:N 相关 CWE: CWE-79: 在 Web 页面生成过程中不正确地中和输入(跨站脚本) 致谢 Thales Digital Factory 报告了这些漏洞 附加信息 对于西门子产品和解决方案中安全漏洞的进一步查询,请联系西门子 ProductCERT: https://www.siemens.com/cert/advisories