Прошивка V12.01.01.55_multi беспроводного маршрутизатора Shenzhen Tenda F3 содержит уязвимость, связанную с путаницей типов контента в административном интерфейсе. В ответах отсутствует заголовок X-Content-Type-Options: nosniff и включается содержимое, находящееся под влиянием злоумышленника, которое может быть отражено в теле ответа. При затронутом поведении браузера прослушивание MIME может привести к тому, что ответ будет интерпретирован как активный HTML, что позволит выполнить сценарий в контексте административного интерфейса.
Показать оригинальное описание (EN)
Shenzhen Tenda F3 Wireless Router firmware V12.01.01.55_multi contains a content-type confusion vulnerability in the administrative interface. Responses omit the X-Content-Type-Options: nosniff header and include attacker-influenced content that can be reflected into the response body. Under affected browser behaviors, MIME sniffing may cause the response to be interpreted as active HTML, enabling script execution in the context of the administrative interface.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Tenda F3_Firmware
cpe:2.3:o:tenda:f3_firmware:*:*:*:*:*:*:*:*
|
— |
<= 12.01.01.55_multi
|
|
Tenda F3
cpe:2.3:h:tenda:f3:-:*:*:*:*:*:*:*
|
— | — |