Vulnerabilidad en ingeniería social en el archivo page_config_adv.php en la función hostapd_wpa_passphrase en el componente newSSID en FruityWifi (CVE-2020-24847)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
23/10/2020
Última modificación:
27/10/2020
Descripción
Una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) es identificada en FruityWifi versiones hasta 2.4. Debido a una falta de protección de CSRF en el archivo page_config_adv.php, un atacante no autenticado puede atraer a la víctima a visitar su sitio web por medio de ingeniería social u otro vector de ataque. Debido a este problema, un atacante no autenticado puede cambiar el componente newSSID y la función hostapd_wpa_passphrase
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:fruitywifi_project:fruitywifi:*:*:*:*:*:*:*:* | 2.4 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página