CVE-2022-25172
CVE-2022-25172
En resumen
La interfaz web del InRouter302 almacena cookies de sesión sin la protección HttpOnly, permitiendo que atacantes roben estas cookies mediante ataques con JavaScript. Esto habilita acceso no autorizado a cuentas de usuario si un atacante logra inyectar scripts maliciosos.
Detalle técnico
La ausencia de la bandera HttpOnly en cookies de sesión del InRouter302 V3.5.4 permite que ataques XSS accedan y exfiltren tokens de sesión mediante JavaScript. La vulnerabilidad requiere un vector XSS previo pero posibilita el robo de sesión completo, llevando a bypass de autenticación y compromiso de acceso administrativo.
Resumen generado y traducido por IA a partir de la descripción oficial.
An information disclosure vulnerability exists in the web interface session cookie functionality of InHand Networks InRouter302 V3.5.4. The session cookie misses the HttpOnly flag, making it accessible via JavaScript and thus allowing an attacker, able to perform an XSS attack, to steal the session cookie.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
InHand Networks · InRouter302¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →