PT-2024-3223 · D Link · D-Link Dap-2310+9
Fekirine Djallal
·
Publicado
2024-04-22
·
Atualizado
2024-11-05
·
CVE-2024-28436
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Produtos D-Link DAP nas versões DAP-2230, DAP-2310, DAP-2330, DAP-2360, DAP-2553, DAP-2590, DAP-2690, DAP-2695, DAP-3520, DAP-3662
Descrição
O problema está relacionado a uma vulnerabilidade de Cross Site Scripting no componente session login.php dos produtos D-Link DAP. Essa vulnerabilidade pode ser explorada por um invasor remoto para executar código arbitrário por meio do parâmetro
reload. A exploração pode permitir que o invasor realize ataques de script entre sites.Recomendações
Para os produtos D-Link DAP nas versões DAP-2230, DAP-2310, DAP-2330, DAP-2360, DAP-2553, DAP-2590, DAP-2690, DAP-2695, DAP-3520, DAP-3662, considere desativar o componente
session login.php ou restringir o acesso ao parâmetro reload até que uma correção esteja disponível.Como solução alternativa temporária, evite usar o parâmetro
reload no endpoint da API afetado até que o problema seja resolvido.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
D-Link Dap-2230
D-Link Dap-2310
D-Link Dap-2330
D-Link Dap-2360
D-Link Dap-2553
D-Link Dap-2590
D-Link Dap-2690
D-Link Dap-2695
D-Link Dap-3520
D-Link Dap-3662