PT-2024-2143 · Tp Link · Tp-Link Archer C50
Hacefresko
+1
·
Publicado
2024-01-30
·
Atualizado
2024-09-23
·
CVE-2024-2188
CVSS v3.1
6.1
Média
| Vetor | AV:L/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
TP-Link Archer AX50 versão 1.0.11 build 2022052
Descrição
O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) que poderia permitir que um invasor não autenticado criasse uma regra de mapeamento de porta por meio de uma solicitação SOAP e armazenasse uma carga maliciosa de JavaScript nessa regra. Essa carga pode ser executada quando a regra é carregada. A vulnerabilidade está associada à falta de proteção da estrutura da página da web, o que poderia permitir que um invasor executasse código JavaScript arbitrário quando uma regra de mapeamento de porta criada fosse carregada.
Recomendações
Para o TP-Link Archer AX50 versão 1.0.11 build 2022052, considere desativar a funcionalidade de solicitação SOAP que permite a criação de regras de mapeamento de portas até que uma correção esteja disponível. Restrinja o acesso ao recurso de regras de mapeamento de portas para minimizar o risco de exploração. Evite usar a versão vulnerável do firmware até que uma atualização seja lançada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tp-Link Archer C50