Межсайтовый скриптинг в D-Link DAP-1320

Дата публикации:
12.05.2014
Дата изменения:
12.05.2014
Всего просмотров:
557
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:4.3/Temporal:3.7
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
D-Link DAP-1320
Уязвимые версии: D-Link DAP-1320 версии прошивки 31.20b07 (HW версии A1, A2 и B1), возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре HTTP GET "html_response_page" в сценарии apply.cgi (когда "html_response_message" установлен в "just_login", "action" установлен в "do_graph_auth", "graph_code" установлен в "0DEY" и "login_n", "tmp_log_pass_auth", "session_id", "gcode_base64", "login_name", "log_pass" установлен). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://www.dlink.com/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10024
http://packetstormsecurity.com/files/126219/D-Link-DAP-1320-Directory-Traver

или введите имя

CAPTCHA