Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad de Cross-Site Scripting en TP-Link Archer AX50

Fecha de publicación 05/03/2024
Identificador
INCIBE-2024-0114
Importancia
3 - Media
Recursos Afectados

Archer AX50, versión 1.0.11 build 2022052.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad de severidad media que afecta a TP-Link Archer AX50 versión 1.0.11 build 2022052, un dispositivo router de doble banda, la cual ha sido descubierta por Víctor Fresco Perales (@hacefresko).

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-2188: 6.1 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L | CWE-79.
Solución

Actualizar el firmware a la versión Archer AX50(EU)_V1_1.0.14 build 20240108.

Detalle

CVE-2024-2188: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en TP-Link Archer AX50 que afecta la versión de firmware 1.0.11 build 2022052. Esta vulnerabilidad podría permitir a un atacante no autenticado crear una regla de asignación de puertos a través de una petición de SOAP y almacenar una carga útil de JavaScript maliciosa dentro de esa regla, lo que podría resultar en una ejecución de la carga útil de JavaScript cuando se carga la regla.

Listado de referencias
TP-Link Archer AX50
Etiquetas