Se han encontrado varias vulnerabilidades en los routers ZyXEL P-330W que podrían ser aprovechado por atacantes para perpetrar ataques de cross-site scripting y peticiones falsas.
Se ha detectado que la interfaz de administración web del dispositivo se ve afectada por los siguientes problemas:
* La entrada pasada al parámetro «pngstr» en ping.asp no es debidamente saneada antes de ser devuelta al usuario.
* Varias vulnerabilidades en el dispositivo, que permite a usuarios realizar acciones a través de peticiones HTTP sin validar la identidad del usuario ni las peticiones. Esto puede ser aprovechado para cambiar la contraseña del administrador.
Se recomienda no navegar por otras páginas mientras se está dentro de la interfaz web de administración del dispositivo.
laboratorio@hispasec.com
Más información:
[Full-disclosure] Ho Ho H0-Day – ZyXEL P-330W multiple XSS and XSRF vulnerabilities
http://lists.grok.org.uk/pipermail/full-disclosure/2007-December/059295.html
Deja un comentario