← voltar
CVE-2024-41685

Cookie Without HTTPOnly Flag Set Vulnerability

CVSS 6.9 MEDIUMEPSS 0.5%CWE-1004
Em resumo

Os cookies de login do roteador não possuem a proteção HTTPOnly, permitindo que atacantes os roubem por meio de scripts maliciosos e sequestrem sessões de usuários.

Detalhe técnico

CWE-1004: Ausência da flag HTTPOnly em cookies de sessão da interface web permite que atacantes baseados em JavaScript acessem tokens de sessão via XSS; a exploração requer proximidade de rede ou interação do usuário com script malicioso, podendo resultar em acesso administrativo não autorizado.

Resumo gerado e traduzido por IA a partir da descrição oficial.
This vulnerability exists in SyroTech SY-GPON-1110-WDONT Router due to missing HTTPOnly flag for the session cookies associated with the router's web management interface. An attacker with remote access could exploit this by intercepting transmission within an HTTP session on the vulnerable system. Successful exploitation of this vulnerability could allow the attacker to capture cookies and obtain sensitive information on the targeted system.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Produtos afetados
SyroTech · SyroTech SY-GPON-1110-WDONT router

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2024-0225https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2024-0225