Inicio / Alerta Temprana / Vulnerabilidades / CVE-2022-36266

Vulnerabilidad en el endpoint login.cgi en el archivo binario /home/www/cgi-bin/login.cgi en Airspan AirSpot 5410 (CVE-2022-36266)

Tipo: 
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Gravedad: 
Sin asignar
Fecha publicación : 
08/08/2022
Última modificación: 
19/08/2022
Descripción
En Airspan AirSpot 5410 versiones 0.3.4.1-4 y anteriores, se presenta una vulnerabilidad de tipo XSS almacenado. Como el archivo binario /home/www/cgi-bin/login.cgi no comprueba si el usuario está autenticado, un actor malicioso puede diseñar una petición específica en el endpoint login.cgi que contenga una carga útil de tipo XSS codificada en base32 que será aceptada y almacenada. Un ataque con éxito resultará en una inyección de scripts maliciosos en la página de configuración del usuario
Impacto
Vector de acceso: No disponible
Complejidad de Acceso: No disponible
Autenticación: No disponible
Tipo de impacto: No disponible
Productos y versiones vulnerables
  • cpe:2.3:o:airspan:airspot_5410_firmware:*:*:*:*:*:*:*:*
  • cpe:2.3:h:airspan:airspot_5410:-:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos