CVE-2026-22081
Cookie without HTTPOnly Flag Vulnerability in Tenda Wireless Routers
Em resumo
Roteadores Tenda armazenam cookies de sessão sem a proteção HTTPOnly, permitindo que atacantes roubem esses cookies através de ataques JavaScript ou interceptação na rede. Isso possibilita acesso não autorizado à interface administrativa do roteador e informações sensíveis.
Detalhe técnico
A vulnerabilidade decorre da ausência da flag HTTPOnly em cookies de sessão da interface administrativa dos roteadores Tenda F3 e N300 (CWE-1004). Um atacante pode capturar os cookies via escuta de tráfego HTTP ou injeção de scripts no lado do cliente, resultando em sequestro de sessão e acesso administrativo não autorizado sem necessidade de contornar autenticação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
This vulnerability exists in Tenda wireless routers (300Mbps Wireless Router F3 and N300 Easy Setup Router) due to the missing HTTPOnly flag for session cookies associated with the web-based administrative interface. A remote at-tacker could exploit this vulnerability by capturing session cookies transmitted over an insecure HTTP connection.
Successful exploitation of this vulnerability could allow the attacker to obtain sensitive information and gain unau-thorized access to the targeted device.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N
Produtos afetados
Tenda · 300Mbps Wireless Router F3 and N300 Easy Setup RouterQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →