CVE-2020-27658
CVE-2020-27658
En resumen
El Administrador de Enrutador Synology no protege su cookie de sesión contra lecturas de código JavaScript. Esto permite que los atacantes roben la cookie e intercepten la sesión del usuario.
Detalle técnico
La cookie de sesión en SRM anterior a la versión 1.2.4-8081 carece de la bandera HTTPOnly, permitiendo ataques XSS basados en JavaScript para exfiltrar la cookie. Atacantes remotos pueden explotar esto para obtener acceso no autorizado a la sesión, asumiendo que la víctima navega una página comprometida mientras está autenticada.
Resumen generado y traducido por IA a partir de la descripción oficial.
Synology Router Manager (SRM) before 1.2.4-8081 does not include the HTTPOnly flag in a Set-Cookie header for the session cookie, which makes it easier for remote attackers to obtain potentially sensitive information via script access to this cookie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
Productos afectados
Synology · Synology Router Manager (SRM)¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →