TP-Link TL-WR840N Cross-Site Request Forgery (CSRF) sérülékenysége

CH azonosító

CH-11911

Angol cím

TP-Link TL-WR840N Configuration Import Cross-Site Request Forgery (CSRF)

Felfedezés dátuma

2015.01.07.

Súlyosság

Magas

Érintett rendszerek

TP-Link Technologies

Érintett verziók

TP-LINK TL-WR840N v1 (firmware 3.13.27 build 140714) előtti verziók

Összefoglaló

A TP-Link TL-WR840N router webes adminisztrációs felülete cross-site request forgery (CSRF) sérülékenységet kihasználva a rosszindulatú támadó saját konfigurációját importálhatja az eszközre.

Leírás

A TP-LINK TL-WR840N router webes adminisztrációs lehetőséget kínál a beállítások módosítására bináris fájl importálásával, de ez a funkció sebezhető CSRF támadásokkal szemben. A támadók az áldozat kártékony weboldalra tett látogatásával használják ki a sebezhetőséget, ez rosszindulatú konfigurációs fájl importálását teszi lehetővé. A támadó a router bármely beállítását megváltoztathatja, beleértve a tűzfal és távoli hozzáférés beállítását. Ha az eszköz tulajdonosa nem változtatott az alapértelmezett felhasználóneven és jelszón, akkor a támadó anélkül károsíthatja a készüléket, hogy a tulajdonos belépne.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

A router firmware frissítése a 3.13.27 verzió 141120-as vagy későbbi build-jére.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
CVE-2024-11182 – MDaemon Email Server Cross-Site Scripting (XSS) sérülékenysége
CVE-2025-42999 – SAP NetWeaver Deserialization sérülékenysége
CVE-2024-12987 – DrayTek Vigor Routers OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »