Vulnerabilidad en la página de administración web en algunos dispositivos XTE (CVE-2020-6879)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
19/11/2020
Última modificación:
02/12/2020
Descripción
Algunos dispositivos ZTE presentan vulnerabilidades de comprobación de entrada. Los dispositivos admiten la configuración de un prefijo estático por medio de la página de administración web. La restricción del código de front-end se puede omitir al construir un mensaje de petición POST y mediante el envío de la petición a la creación de una interfaz de configuración de reglas de enrutamiento estático. El backend del servicio WEB no puede verificar eficazmente la entrada anormal. Como resultado, el atacante puede usar con éxito la vulnerabilidad para alterar los valores de los parámetros. Esto afecta a: ZXHN Z500 V1.0.0.2B1.1000 y ZXHN F670L V1.1.10P1N2E. Esto se corrige en ZXHN Z500 V1.0.1.1B1.1000 y ZXHN F670L V1.1.10P2N2
Impacto
Puntuación base 3.x
3.50
Gravedad 3.x
BAJA
Puntuación base 2.0
2.70
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:zte:zxhn_z500_firmware:v1.0.0.2b1.1000:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zte:zxhn_z500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zte:zxhn_f670l_firmware:v1.1.10p1n2e:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zte:zxhn_f670l:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página