CVE-2020-27658
CVE-2020-27658
Em resumo
O Gerenciador de Roteador Synology não protege seu cookie de sessão contra leitura por código JavaScript. Isso permite que atacantes roubem o cookie e assumam controle da sessão do usuário.
Detalhe técnico
O cookie de sessão no SRM anterior à versão 1.2.4-8081 não possui a flag HTTPOnly, permitindo que ataques XSS baseados em JavaScript extraiam o cookie. Atacantes remotos podem explorar isso para obter acesso não autorizado à sessão, caso a vítima navegue em uma página comprometida enquanto autenticada.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Synology Router Manager (SRM) before 1.2.4-8081 does not include the HTTPOnly flag in a Set-Cookie header for the session cookie, which makes it easier for remote attackers to obtain potentially sensitive information via script access to this cookie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
Produtos afetados
Synology · Synology Router Manager (SRM)Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →