Vulnerabilidad de Cross-site scripting (XSS) en el script Forms/rpSysAdmin en el Router ADSL Zyxel Prestige 660H-61 con firmware 3.40(PT.0)b32 permite a atacantes remotos inyectar scripts web o HTML arbitrarios a través de valores codificados en hexadecimal en el parámetro a.
Investigador
José Ramón Palanco: jpalanco@gmail.com
Detalles
Cronología
- Descubierto: 26/10/2006
- Publicado: 8/01/2007
Vulnerabilidad
Cross Site Scripting
El Router ADSL Zyxel Prestige 660H-61 es vulnerable a una vulnerabilidad de seguridad que permite ataques de Cross-Site Scripting. Debido a un filtrado inadecuado, un atacante remoto puede explotar un cross-site scripting en este script:
http://router/Forms/rpSysAdmin?a=%3Cscript%3Ealert(document.cookie)%3C/script%3E
Productos y Versiones
- Vendedor: Zyxel
- Producto: Prestige 660h-61
- Versión: Firmware 3.40 Pt.0 B32
CPE v2.3
cpe:2.3:h:zyxel:prestige_660h-61:firmware_3.40_pt.0_b32:::::::*
Puntuaciones CVSS y Tipos de Vulnerabilidad
| Nombre | Valor |
|---|---|
| Puntuación CVSS | 4.3 |
| Impacto en Confidencialidad | Ninguno (No hay impacto en la confidencialidad del sistema.) |
| Impacto en Integridad | Parcial (Es posible la modificación de algunos archivos o información del sistema, pero el atacante no tiene control sobre lo que se puede modificar, o el alcance de lo que el atacante puede afectar es limitado.) |
| Impacto en Disponibilidad | Ninguno (No hay impacto en la disponibilidad del sistema.) |
| Complejidad de Acceso | Media (Las condiciones de acceso son algo especializadas. Se deben cumplir algunas precondiciones para explotar) |
| Autenticación | No requerida (No se requiere autenticación para explotar la vulnerabilidad.) |
| Acceso Obtenido | Ninguno |
| Tipo(s) de Vulnerabilidad | Cross Site Scripting |
| ID CWE | El ID CWE no está definido para esta vulnerabilidad |