Vulnerabilidad en la contraseña del switch en TP-Link TL-SG2005, TL-SG2008 (CVE-2021-31659)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
10/06/2021
Última modificación:
23/06/2021
Descripción
TP-Link TL-SG2005, TL-SG2008, etc. versiones 1.0.0 Build 20180529 Rel.40524 es vulnerable a taques de tipo Cross Site Request Forgery (CSRF). Toda la información de configuración se coloca en la URL, sin ninguna información adicional de autenticación de token. Un enlace malicioso abierto por el administrador del switch puede causar la modificación de la contraseña del switch y la manipulación del archivo de configuración
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:tp-link:tl-sg2005_firmware:1.0.0:build_20180529_rel.40524:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-sg2005:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:tp-link:tl-sg2008_firmware:1.0.0:build_20180529_rel.40524:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-sg2008:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página