CVE-2025-10234 | THREATINT

Description

A vulnerability was detected in Scada-LTS up to 2.7.8.1. This vulnerability affects unknown code of the file /data_point_edit.shtm of the component Data Point Edit Module. The manipulation of the argument Text Renderer properties results in cross site scripting. The attack can be launched remotely. The exploit is now public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

In Scada-LTS bis 2.7.8.1 ist eine Schwachstelle entdeckt worden. Betroffen ist eine unbekannte Verarbeitung der Datei /data_point_edit.shtm der Komponente Data Point Edit Module. Mittels dem Manipulieren des Arguments Text Renderer properties mit unbekannten Daten kann eine cross site scripting-Schwachstelle ausgenutzt werden. Es ist möglich, den Angriff aus der Ferne durchzuführen. Der Exploit ist öffentlich verfügbar und könnte genutzt werden.

PUBLISHED Reserved 2025-09-10 | Published 2025-09-10 | Updated 2025-09-11 | Assigner VulDB

MEDIUM: 4.8CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:P

LOW: 2.4CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N/E:P/RL:X/RC:R

LOW: 2.4CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N/E:P/RL:X/RC:R

3.3AV:N/AC:L/Au:M/C:N/I:P/A:N/E:POC/RL:ND/RC:UR

Problem types

Cross Site Scripting

Code Injection

Timeline

2025-09-10:	Advisory disclosed
2025-09-10:	VulDB entry created
2025-09-10:	VulDB entry last update

Credits

0x5ea3o1f (VulDB User) reporter

References

vuldb.com/?id.323503 (VDB-323503 | Scada-LTS Data Point Edit data_point_edit.shtm cross site scripting) vdb-entry technical-description

vuldb.com/?ctiid.323503 (VDB-323503 | CTI Indicators (IOB, IOC, TTP, IOA)) signature permissions-required

vuldb.com/?submit.641896 (Submit #641896 | ScadaBR Scada-LTS 2.7.8.1 XSS) third-party-advisory

medium.com/...-xss-in-scada-lts-data-point-edit-42c7383402f0 exploit

cve.org (CVE-2025-10234)

nvd.nist.gov (CVE-2025-10234)

Download JSON