Отсутствие проверки аутентификации на HTTP-сервере на TP-Link Archer NX200, NX210, NX500 и NX600 к определенным конечным точкам cgi обеспечивает неаутентифицированный доступ, предназначенный для аутентифицированных пользователей. Злоумышленник может выполнять привилегированные действия HTTP без аутентификации, включая операции загрузки прошивки и настройки.
Показать оригинальное описание (EN)
A missing authentication check in the HTTP server on TP-Link Archer NX200, NX210, NX500 and NX600 to certain cgi endpoints allows unauthenticated access intended for authenticated users. An attacker may perform privileged HTTP actions without authentication, including firmware upload and configuration operations.
Характеристики атаки
Способ атаки
Смежная сеть
Нужен доступ к локальной сети
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 5
https://www.tp-link.com/en/support/download/archer-nx200/#Firmware
f23511db-6c3e-4e32-a477-6aa17d310630
https://www.tp-link.com/en/support/download/archer-nx210/#Firmware
f23511db-6c3e-4e32-a477-6aa17d310630
https://www.tp-link.com/en/support/download/archer-nx500/#Firmware
f23511db-6c3e-4e32-a477-6aa17d310630
https://www.tp-link.com/en/support/download/archer-nx600/#Firmware
f23511db-6c3e-4e32-a477-6aa17d310630
https://www.tp-link.com/us/support/faq/5027/
f23511db-6c3e-4e32-a477-6aa17d310630