Vulnerabilidad en Allegro RomPager (CVE-2013-6786)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
16/01/2014
Última modificación:
11/04/2025
Descripción
Vulnerabilidad de XSS en Allegro RomPager anterior a la versión 4.51, tal y como se usa en ZyXEL P660HW-D1, Huawei MT882, Sitecom WL-174, TP-LINK TD-8816, y D-Link DSL-2640R y DSL-2641R, cuando los mecanismos de protección "forbidden author header" son evadidos, permite a atacantes remotos inyectar script Web o HTML arbitrario mediante la petición de una URI no existente en conjunción con una cabecera HTTP Referer manipulada que no es manejada adecuadamente en una página 404. NOTA: no hay CVE para una "redirección de URL", que algunas fuentes enumeran por separado.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:allegrosoft:rompager:*:*:*:*:*:*:*:* | 4.07 (incluyendo) | |
| cpe:2.3:h:dlink:dsl-2640r:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:dlink:dsl-2641r:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:huawei:mt882:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:sitecom:wl-174:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:td-8816:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:p-660hw_d1:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página