Ввод, контролируемый пользователем, отражается в выводе HTML без надлежащего кодирования в TP-Link Archer C60 v3, что позволяет выполнять произвольное выполнение JavaScript через созданный URL-адрес. Злоумышленник может запустить сценарий в контексте веб-интерфейса устройства, что потенциально может привести к краже учетных данных, перехвату сеанса или непреднамеренным действиям, если целью является привилегированный пользователь.
Показать оригинальное описание (EN)
User-controlled input is reflected into the HTML output without proper encoding on TP-Link Archer C60 v3, allowing arbitrary JavaScript execution via a crafted URL. An attacker could run script in the device web UI context, potentially enabling credential theft, session hijacking, or unintended actions if a privileged user is targeted.
Характеристики атаки
Последствия
Строка CVSS v4.0