PT-2024-2151 · Tp Link · Tp-Link Jetstream Smart Switch Tl-Sg2210P

Shaikh Shahnawaz

·

Publicado

2024-03-02

·

Atualizado

2024-08-01

·

CVE-2023-43318

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
TP-Link JetStream Smart Switch TL-SG2210P versão 5.0 Build 20211201
Descrição
O problema está relacionado a um controle de acesso inadequado, permitindo que invasores aumentem seus privilégios por meio da modificação dos valores tid e usrlvl em solicitações GET. Isso pode permitir que um invasor remoto obtenha acesso com privilégios elevados.
Recomendações
Para o TP-Link JetStream Smart Switch TL-SG2210P versão 5.0 Build 20211201, como solução temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis que aceitam os parâmetros tid e usrlvl em solicitações GET até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Improper Access Control

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-22

Identificadores relacionados

BDU:2024-02060
CVE-2023-43318

Produtos afetados

Tp-Link Jetstream Smart Switch Tl-Sg2210P