वेब पेज जनरेशन के दौरान अनुचित न्यूट्रलाइजेशन (Improper Neutralization) ('क्रॉस-साइट स्क्रिप्टिंग') भेद्यता Siemens AG Polarion के वेबक्लाइंट में, एक हमलावर को एक स्थायी XSS भेद्यता का फायदा उठाने की अनुमति दे सकती है।

यह XSS भेद्यता हमलावर को वेबक्लाइंट के माध्यम से दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति देती है। एक बार इंजेक्ट हो जाने के बाद, यह कोड अन्य उपयोगकर्ताओं के ब्राउज़र में निष्पादित हो सकता है, जिससे हमलावर को कुकीज़, सत्र टोकन और अन्य संवेदनशील जानकारी तक पहुंच प्राप्त हो सकती है। हमलावर उपयोगकर्ता के खाते को हाईजैक करने, फ़िशिंग हमले शुरू करने या वेबसाइट की सामग्री को बदलने में भी सक्षम हो सकता है। चूंकि Polarion का उपयोग अक्सर महत्वपूर्ण परियोजनाओं के प्रबंधन के लिए किया जाता है, इसलिए इस भेद्यता का शोषण करने से डेटा हानि या समझौता हो सकता है।

Organizations utilizing Siemens Polarion for project lifecycle management, particularly those running versions prior to 19.2, are at risk. This includes teams relying on Polarion for requirements management, test management, and agile project tracking. Environments with shared user accounts or limited access controls may be more vulnerable.

1. 2019-11-27Disclosure

   disclosure

1. आरक्षित2019-07-18
2. प्रकाशित2019-11-27
3. संशोधित2024-09-16
4. EPSS अद्यतन2026-04-02

इस भेद्यता को कम करने के लिए, Siemens AG Polarion को संस्करण 19.2 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि तत्काल अपग्रेड संभव नहीं है, तो वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके वेबक्लाइंट को सुरक्षित किया जा सकता है। Polarion के कॉन्फ़िगरेशन की नियमित रूप से समीक्षा करना और किसी भी अनावश्यक सुविधा को अक्षम करना भी महत्वपूर्ण है।