PT-2025-17247 · Tp Link · Tp-Link Wr841N
Slin99
·
Publicado
2025-03-20
·
Atualizado
2025-04-23
·
CVE-2025-25427
CVSS v4.0
8.6
Alta
| Vetor | AV:A/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:L/SI:N/SA:L |
Nome do Software Vulnerável e Versões Afetadas
TP-Link WR841N versões v14/v14.6/v14.8 <= Build 241230 Rel. 50788n
TP-Link WR841N versão <= 4.19
Descrição
Uma vulnerabilidade de cross-site scripting (XSS) armazenado na página upnp.htm da Interface Web do TP-Link WR841N permite que atacantes remotos injetem código JavaScript arbitrário por meio da descrição do mapeamento de porta. Isso leva à execução da payload JavaScript quando a página upnp é carregada.
Recomendações
Para as versões TP-Link WR841N v14/v14.6/v14.8 <= Build 241230 Rel. 50788n, considere desabilitar a página upnp.htm até que um patch esteja disponível.
Para a versão TP-Link WR841N <= 4.19, restrinja o acesso à página upnp para minimizar o risco de exploração.
Como solução temporária, evite usar a descrição do mapeamento de porta no endpoint da API afetado até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tp-Link Wr841N