Vulnerabilidad en múltiples endpoints en el firmware AirMax AirOS para tarjetas TI, XW y XM (CVE-2020-8170)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/05/2020
Última modificación:
28/05/2020
Descripción
Recientemente hemos publicado una nueva versión del firmware AirMax AirOS v6.3.0 para tarjetas TI, XW y XM que corrige las vulnerabilidades encontradas en AirMax AirOS v6.2.0 y tarjetas TI, XW y XM anteriores, de acuerdo con la descripción a continuación: Múltiples endpoints con parámetros vulnerables a ataques de tipo cross site scripting (XSS) reflejado, permitiendo a atacantes abusar de la información de sesión del usuario y/o tomar control de la cuenta del usuario administrador. Mitigación: Actualice a la última versión del firmware AirMax AirOS disponible en la página de descargas de AirMax.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:ui:airos:*:*:*:*:*:*:*:* | 6.2.0 (incluyendo) | |
cpe:2.3:h:ui:ag-hp-2g16:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:ui:ag-hp-2g20:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:ui:ag-hp-5g23:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:ui:ag-hp-5g27:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:ui:airgrid_m:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:ui:airgrid_m2:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:ui:airgrid_m5:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:ui:ar:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:ui:ar-hp:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:ui:bm2-ti:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:ui:bm2hp:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:ui:bm5-ti:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:ui:bm5hp:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:ui:is-m5:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página