CVE-2022-41540

Опубликовано: 18 окт. 2022

Источник: nvd

CVSS3: 5.9

EPSS Низкий

Описание

The web app client of TP-Link AX10v1 V1_211117 uses hard-coded cryptographic keys when communicating with the router. Attackers who are able to intercept the communications between the web client and router through a man-in-the-middle attack can then obtain the sequence key via a brute-force attack, and access sensitive information.

Ссылки

https://github.com/efchatz/easy-exploits/tree/main/Web/TP-Link/Offline-decryption
Exploit
Third Party Advisory
https://www.tp-link.com/us/support/download/archer-ax10/v1/#Firmware
Product
Vendor Advisory
https://github.com/efchatz/easy-exploits/tree/main/Web/TP-Link/Offline-decryption
Exploit
Third Party Advisory
https://www.tp-link.com/us/support/download/archer-ax10/v1/#Firmware
Product
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:tp-link:ax10_firmware:v1_211117:*:*:*:*:*:*:*

cpe:2.3:h:tp-link:ax10:1.0:*:*:*:*:*:*:*

EPSS

Процентиль: 88%

0.04154

Низкий

5.9 Medium

CVSS3

Дефекты

CWE-798

Связанные уязвимости

GHSA-x34h-6cf7-qmw4

CVSS3: 5.9

github

больше 3 лет назад

BDU:2023-00052

CVSS3: 5.9

fstec

больше 3 лет назад

Уязвимость компонента Client микропрограммного обеспечения маршрутизаторов TP-Link Archer AX10, позволяющая нарушителю реализовать атаку методом «грубой силы» (brute force) и получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 88%

0.04154

Низкий

5.9 Medium

CVSS3

Дефекты

CWE-798