Vulnerabilidad en webproc?getpage= en los dispositivos NETGEAR JNR1010 (CVE-2016-11016)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
16/10/2019
Última modificación:
10/11/2020
Descripción
Los dispositivos NETGEAR JNR1010 versiones anteriores a 1.0.0.32, permiten un ataque de tipo XSS en webproc?getpage=.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:netgear:jnr1010_firmware:*:*:*:*:*:*:*:* | 1.0.0.32 (excluyendo) | |
| cpe:2.3:h:netgear:jnr1010:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://007software.net/multiple-cross-site-scripting-in-netgear-router-version1-0-0-24/
- https://cybersecurityworks.com/zerodays/cve-2016-11016-netgear.html
- https://github.com/cybersecurityworks/Disclosed/issues/12
- https://khalil-shreateh.com/khalil.shtml/it-highlights/592-Netgear-1.0.0.24-Cross-Site-Request-Forgery--.html
- https://lists.openwall.net/full-disclosure/2016/01/11/1
- https://packetstormsecurity.com/files/135194/Netgear-1.0.0.24-Cross-Site-Scripting.html