A missing origin validation in WebSockets vulnerability affects the GraphicalData web services used by the WebVue, WebScheduler, TouchVue and SnapVue features of PcVue in version 12.0.0 through 16.3.3 included. It might allow a remote attacker to lure a successfully authenticated user to a malicious website.
This vulnerability only affects the following two endpoints: GraphicalData/js/signalR/connect and GraphicalData/js/signalR/reconnect.
A missing origin validation vulnerability in WebSockets affects PcVue versions 12.0.0-16.3.3, allowing remote attackers to exploit authenticated users through malicious websites. The vulnerability impacts GraphicalData web services used by WebVue, WebScheduler, TouchVue, and SnapVue features.
تؤثر هذه الثغرة على خدمات الويب GraphicalData في PcVue والتي تُستخدم في عدة ميزات مثل WebVue و WebScheduler و TouchVue و SnapVue. يمكن للمهاجمين البعيدين استغلال هذه الثغرة بجذب مستخدمين مصرحين إلى مواقع ويب ضارة للقيام بعمليات غير مصرح بها. الثغرة محدودة بنقطتي نهاية محددتين في خدمة GraphicalData.
ثغرة في التحقق من أصل الاتصال في WebSockets تؤثر على إصدارات PcVue من 12.0.0 إلى 16.3.3، مما يسمح للمهاجمين بمهاجمة المستخدمين المصرحين عبر مواقع ويب ضارة. تؤثر الثغرة على خدمات الويب GraphicalData المستخدمة في ميزات WebVue و WebScheduler و TouchVue و SnapVue.
Update PcVue to version 16.3.4 or later immediately. Implement network segmentation to restrict access to GraphicalData endpoints. Deploy Web Application Firewall (WAF) rules to validate WebSocket origin headers. Monitor and log all WebSocket connections to GraphicalData/js/signalR endpoints. Conduct security awareness training for users regarding malicious website risks.
قم بتحديث PcVue إلى الإصدار 16.3.4 أو أحدث فوراً. طبق تقسيم الشبكة لتقييد الوصول إلى نقاط نهاية GraphicalData. نشر قواعد جدار حماية تطبيقات الويب للتحقق من رؤوس أصل WebSocket. راقب وسجل جميع اتصالات WebSocket إلى نقاط نهاية GraphicalData. أجرِ تدريباً على الوعي الأمني للمستخدمين بشأن مخاطر المواقع الضارة.