Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00884

Опубликовано: 28 янв. 2025
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость веб-интерфейса управления микропрограммного обеспечения Wi‑Fi маршрутизатора TP-Link Archer А20 связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код при условии открытия пользователем специально сформированного GET-запроса

Вендор

TP-Link Technologies Co Ltd.

Наименование ПО

Archer A20

Версия ПО

1.0.6 Build 20231011 rel.85717(5553) (Archer A20)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удаленного доступа к веб-интерфейсу управления устройством;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа к устройству из внешних сетей (Интернет).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.13596
Средний

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-57514

CVSS3: 4.8
nvd
около 1 года назад

The TP-Link Archer A20 v3 router is vulnerable to Cross-site Scripting (XSS) due to improper handling of directory listing paths in the web interface. When a specially crafted URL is visited, the router's web page renders the directory listing and executes arbitrary JavaScript embedded in the URL. This allows the attacker to inject malicious code into the page, executing JavaScript on the victim's browser, which could then be used for further malicious actions. The vulnerability was identified in the 1.0.6 Build 20231011 rel.85717(5553) version.

github логотип

GHSA-h6q9-c4w9-v66r

CVSS3: 4.8
github
около 1 года назад

The TP-Link Archer A20 v3 router is vulnerable to Cross-site Scripting (XSS) due to improper handling of directory listing paths in the web interface. When a specially crafted URL is visited, the router's web page renders the directory listing and executes arbitrary JavaScript embedded in the URL. This allows the attacker to inject malicious code into the page, executing JavaScript on the victim's browser, which could then be used for further malicious actions. The vulnerability was identified in the 1.0.6 Build 20231011 rel.85717(5553) version.

EPSS

Процентиль: 94%
0.13596
Средний

8.8 High

CVSS3

10 Critical

CVSS2