PT-2024-15653 · Wic1200 · Wic1200
Hadess
·
Publicado
2024-01-16
·
Atualizado
2024-01-23
·
CVE-2024-0554
CVSS v3.1
5.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
WIC1200 versão 1.1
Descrição
Foi identificada uma vulnerabilidade de script entre sites (XSS) que permite que um usuário autenticado armazene um código JavaScript malicioso no parâmetro
device model por meio da URL “/setup/diags ir learn.asp”. Isso permite que o invasor recupere os detalhes da sessão de outro usuário.Recomendações
Para a versão 1.1, considere desativar o acesso ao endpoint “/setup/diags ir learn.asp” até que uma correção esteja disponível. Restrinja a capacidade de armazenar dados no parâmetro
device model para minimizar o risco de exploração.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wic1200