Рекомендации по безопасности: сохранение межсайтовых сценариев (XSS) посредством импорта файла конфигурации на TL-SG108PE (CVE-2026-34127)

Описание уязвимости и воздействия:

CVE-2026-34127

В веб-интерфейсе управления коммутатором TL-SG108PE v5.6 была выявлена уязвимость, связанная с сохранением межсайтового скриптинга (хранимая XSS), вызванная недостаточной очисткой параметра конфигурации SYSNAM при импорте файла конфигурации. Злоумышленник с правами администратора может внедрить вредоносный скрипт в конфигурацию устройства, который может сохраниться и выполняться в браузере администратора при просмотре затронутого интерфейса.

Успешная эксплуатация может привести к краже файлов cookie сеанса, несанкционированному изменению конфигурации или доступу к конфиденциальной информации, доступной через интерфейс управления.

Оценка CVSS v4.0: 5.3 / Средний уровень

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:P/VC:H/VI:L/VA:H/SC:L/SI:N/SA:L

Затронутые продукты/версии и способы устранения:

Рекомендации:

Мы настоятельно рекомендуем пользователям затронутых устройств предпринять следующие действия:

1. Обновите затронутые устройства до последней версии прошивки, в которой устранена эта уязвимость:

США: Загрузка для TL-SG108PE | TP-Link

Международная версия: Загрузка для TL-SG108PE | TP-Link

Отказ от ответственности:

Это уведомление предоставлено исключительно в информационных целях и может быть изменено без предварительного уведомления. Информация предоставляется «как есть» без каких-либо гарантий. TP-Link рекомендует клиентам устанавливать доступные обновления прошивки или применять задокументированные методы обхода, указанные в этом уведомлении. Устройства/системы, которые не обновлены или не защищены описанным образом, могут оставаться уязвимыми.