Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la configuración de control de acceso por medio de Target_lists_name o hosts_lists_name en el panel de administración en los dispositivos TP-Link TL-WR740N y TL-WR740ND (CVE-2020-14965)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
23/06/2020
Última modificación:
21/07/2021

Descripción

En los dispositivos TP-Link TL-WR740N versión v4 y TL-WR740ND versión v4, un atacante con acceso al panel de administración puede inyectar código HTML y cambiar el contexto HTML de las páginas y estaciones de destino en la configuración de control de acceso por medio de Target_lists_name o hosts_lists_name. La vulnerabilidad también puede ser explotada por medio de un ataque de tipo CSRF, que no requiere autenticación como administrador

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:tp-link:tl-wr740n_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:tp-link:tl-wr740n:4.0:*:*:*:*:*:*:*
cpe:2.3:o:tp-link:tl-wr740nd_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:tp-link:tl-wr740nd:4.0:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información