Smriti Gaba

**Nome do software vulnerável e versões afetadas** Roteadores Wi-Fi TP-Link (roteadores Wireless AC) versões TD-W9977v1 Pontos de acesso TP-Link versões TL-WA801NDv5, TL-WA801Nv6, TL-WA802Nv5 Gateways e roteadores ADSL + DSL TP-Link versões Archer C3150v2 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado não autenticado em vários produtos TP-Link devido à validação inadequada do nome do host. A função vulnerável `setDefaultHostname()` é utilizada sem sanitização em várias páginas, incluindo “dhcp.htm”, “networkMap.htm”, “dhcpClient.htm”, “qsEdit.htm” e “qsReview.htm”. **Recomendações** Para o TD-W9977v1, considere desativar a função `setDefaultHostname()` até que um patch esteja disponível. Para o TL-WA801NDv5, TL-WA801Nv6 e TL-WA802Nv5, restrinja o acesso às páginas vulneráveis, incluindo “dhcp.htm”, “networkMap.htm”, “dhcpClient.htm”, “qsEdit.htm” e “qsReview.htm”, para minimizar o risco de exploração. Para o Archer C3150v2, evite usar a função de nome de host vulnerável `setDefaultHostname()` até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.