Vulnerabilidad en la configuración de control de acceso por medio de Target_lists_name o hosts_lists_name en el panel de administración en los dispositivos TP-Link TL-WR740N y TL-WR740ND (CVE-2020-14965)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
23/06/2020
Última modificación:
21/07/2021
Descripción
En los dispositivos TP-Link TL-WR740N versión v4 y TL-WR740ND versión v4, un atacante con acceso al panel de administración puede inyectar código HTML y cambiar el contexto HTML de las páginas y estaciones de destino en la configuración de control de acceso por medio de Target_lists_name o hosts_lists_name. La vulnerabilidad también puede ser explotada por medio de un ataque de tipo CSRF, que no requiere autenticación como administrador
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:tp-link:tl-wr740n_firmware:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:tp-link:tl-wr740n:4.0:*:*:*:*:*:*:* | ||
cpe:2.3:o:tp-link:tl-wr740nd_firmware:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:tp-link:tl-wr740nd:4.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página