CVE-2026-22081
Cookie without HTTPOnly Flag Vulnerability in Tenda Wireless Routers
En resumen
Los routers Tenda almacenan cookies de sesión sin la protección HTTPOnly, permitiendo que atacantes roben estas cookies mediante ataques JavaScript o intercepción de red. Esto habilita acceso no autorizado a la interfaz administrativa del router e información sensible.
Detalle técnico
La vulnerabilidad surge por la ausencia de la flag HTTPOnly en cookies de sesión de la interfaz administrativa de routers Tenda F3 y N300 (CWE-1004). Un atacante puede capturar las cookies mediante escucha de tráfico HTTP o inyección de scripts del lado cliente, resultando en secuestro de sesión y acceso administrativo no autorizado sin necesidad de eludir la autenticación.
Resumen generado y traducido por IA a partir de la descripción oficial.
This vulnerability exists in Tenda wireless routers (300Mbps Wireless Router F3 and N300 Easy Setup Router) due to the missing HTTPOnly flag for session cookies associated with the web-based administrative interface. A remote at-tacker could exploit this vulnerability by capturing session cookies transmitted over an insecure HTTP connection.
Successful exploitation of this vulnerability could allow the attacker to obtain sensitive information and gain unau-thorized access to the targeted device.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N
Productos afectados
Tenda · 300Mbps Wireless Router F3 and N300 Easy Setup Router¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →