CRITICAL🇬🇧 English

CVE-2024-39363

XSS w Wavlink AC3000 — ujawnienie danych przez login.cgi

CVSS 9.6v3.1pub. 2025-01-14upd. 2025-08-25

W oprogramowaniu routera Wavlink AC3000 (model M33A8) odkryto podatność typu cross-site scripting (XSS) w funkcji set_lang_CountryCode() pliku login.cgi. Atakujący bez uwierzytelnienia może wysłać spreparowane żądanie HTTP, powodując ujawnienie wrażliwych informacji.

Pokaż oryginał (EN)

A cross-site scripting (xss) vulnerability exists in the login.cgi set_lang_CountryCode() functionality of Wavlink AC3000 M33A8.V5030.210505. A specially crafted HTTP request can lead to a disclosure of sensitive information. An attacker can make an unauthenticated HTTP request to trigger this vulnerability.

🤖 Analiza AI
Jak działa

Podatność tkwi w funkcji set_lang_CountryCode() obsługiwanej przez plik login.cgi w firmware urządzenia. Nieuwierzytelniony atakujący wysyła specjalnie spreparowane żądanie HTTP zawierające złośliwy payload XSS. Urządzenie przetwarza dane wejściowe bez odpowiedniego filtrowania lub kodowania, co prowadzi do wykonania złośliwego kodu po stronie przeglądarki użytkownika i ujawnienia wrażliwych informacji. Podatność jest sklasyfikowana jako CWE-80 (Improper Neutralization of Script-Related HTML Tags in a Web Page), co oznacza brak neutralizacji znaczników skryptowych w generowanej stronie.

Skutki

Atakujący może doprowadzić do ujawnienia wrażliwych informacji dostępnych w kontekście przeglądarki ofiary, w tym potencjalnie danych sesji lub danych logowania. Ze względu na ocenę CVSS wskazującą na wysoki wpływ na poufność, integralność i dostępność oraz zakres C (Changed Scope), skutki mogą wykraczać poza sam komponent podatny.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegóły dotyczące poprawionej wersji firmware dostępne są w raporcie Cisco Talos Intelligence (TALOS-2024-2017). Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu zarządzania urządzenia wyłącznie do zaufanych sieci oraz wyłączenie dostępu do panelu administracyjnego z sieci WAN.

Kogo dotyczy

Firmware Wavlink AC3000 M33A8, wersja V5030.210505 (urządzenia Wavlink WL-WN533A8).

Uwagi

Podatność została odkryta i opublikowana przez Cisco Talos Intelligence (raport TALOS-2024-2017). Podatność dotyczy publicznie dostępnego endpointu logowania, co umożliwia jej wykorzystanie bez uwierzytelnienia.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Wavlink Wl Wn533a8

    HW
    Wavlink
    wszystkie wersje
  • Wavlink Wl Wn533a8 Firmware

    OS
    Wavlink
    m33a8.v5030.210505
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2024-21797CRITICAL9.1PL ✓ten sam produkt

Command injection w Wavlink AC3000 — wykonanie dowolnych poleceń przez adm.cgi

CVE-2024-34166CRITICAL10.0PL ✓ten sam produkt

Command injection w firmware Wavlink AC3000 — zdalne wykonanie kodu

CVE-2024-34544CRITICAL9.1PL ✓ten sam produkt

Command injection w Wavlink AC3000 – nieautoryzowane wykonanie poleceń

CVE-2024-36258CRITICAL10.0PL ✓ten sam produkt

Stack-based buffer overflow w Wavlink AC3000 umożliwia RCE przez HTTP

CVE-2024-36272CRITICAL9.1PL ✓ten sam produkt

Buffer overflow w Wavlink AC3000 — podatność w funkcji set_info() usbip.cgi