CVE-2022-25172
CVE-2022-25172
Em resumo
A interface web do InRouter302 armazena cookies de sessão sem a proteção HttpOnly, permitindo que atacantes roubem esses cookies através de ataques por JavaScript. Isso habilita acesso não autorizado a contas de usuário se um atacante conseguir injetar scripts maliciosos.
Detalhe técnico
A ausência da flag HttpOnly nos cookies de sessão do InRouter302 V3.5.4 permite que ataques XSS acessem e exfiltrem tokens de sessão via JavaScript. A vulnerabilidade requer um vetor XSS prévio, mas possibilita roubo de sessão completo, levando a bypass de autenticação e comprometimento de acesso administrativo.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An information disclosure vulnerability exists in the web interface session cookie functionality of InHand Networks InRouter302 V3.5.4. The session cookie misses the HttpOnly flag, making it accessible via JavaScript and thus allowing an attacker, able to perform an XSS attack, to steal the session cookie.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
InHand Networks · InRouter302Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →