Прошивка Hereta ETH-IMC408M версии 1.0.15 и более ранних содержит сохраненную уязвимость межсайтового сценария, которая позволяет злоумышленникам, прошедшим проверку подлинности, внедрить произвольный код JavaScript, манипулируя полем имени устройства. Злоумышленники могут внедрить вредоносные сценарии через интерфейс состояния системы, которые выполняются в браузерах пользователей, просматривающих страницу состояния без очистки ввода.
Показать оригинальное описание (EN)
Hereta ETH-IMC408M firmware version 1.0.15 and prior contain a stored cross-site scripting vulnerability that allows authenticated attackers to inject arbitrary JavaScript by manipulating the Device Name field. Attackers can inject malicious scripts through the System Status interface that execute in browsers of users viewing the status page without input sanitation.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Hereta Eth-Imc408m_Firmware
cpe:2.3:o:hereta:eth-imc408m_firmware:*:*:*:*:*:*:*:*
|
— |
<= 1.0.15
|
|
Hereta Eth-Imc408m
cpe:2.3:h:hereta:eth-imc408m:-:*:*:*:*:*:*:*
|
— | — |