Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en ZTE (CVE-2014-9021)

Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/11/2014
Última modificación:
12/04/2025

Descripción

Múltiples vulnerabilidades de XSS en ZTE_ZXDSL 831 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro (1) tr69cAcsURL, (2) tr69cAcsUser, (3) tr69cAcsPwd, (4) tr69cConnReqPwd, o (5) tr69cDebugEnable en la página del cliente TR-069 (tr69cfg.cgi); el parámetro (6) timezone (sntpcfg.sntp); o el parámetro (7) hostname en una acción save (guardar) en la página Quick Stats (psilan.cgi). NOTA: este problema fue separado (SPLIT) de CVE-2014-9020 por ADT1 debido a los diferentes productos y bases de código afectados.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:h:zteusa:zxdsl_831:-:*:*:*:*:*:*:*