Прошивка Edimax GS-5008PL версии 1.00.54 и более ранних содержит сохраненную уязвимость межсайтового скриптинга в скрипте system_name_set.cgi, которая позволяет злоумышленникам внедрять произвольный код скрипта, манипулируя параметром sysName. Злоумышленники могут отправить созданный POST-запрос с полезными данными вредоносного сценария, который выполняется, когда администраторы просматривают страницы управления, включая system_data.js.
Показать оригинальное описание (EN)
Edimax GS-5008PL firmware version 1.00.54 and prior contain a stored cross-site scripting vulnerability in the system_name_set.cgi script that allows attackers to inject arbitrary script code by manipulating the sysName parameter. Attackers can send a crafted POST request with malicious script payload that executes when management pages including system_data.js are viewed by administrators.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Edimax Gs-5008pl_Firmware
cpe:2.3:o:edimax:gs-5008pl_firmware:*:*:*:*:*:*:*:*
|
— |
<= 1.00.54
|
|
Edimax Gs-5008pl
cpe:2.3:h:edimax:gs-5008pl:-:*:*:*:*:*:*:*
|
— | — |