Komunikat dotyczący Cross-Site Scripting (XSS) przez import pliku konfiguracyjnego na TL-SG108PE (CVE-2026-34127)

Opis podatności bezpieczeństwa i jej wpływ:

CVE-2026-34127

Podatność Cross-Site Scripting (XSS) została zidentyfikowana w panelu konfiguracyjnym web przełącznika TL-SG108PE v5.6 i dotyczy nieprawidłowej sanityzacji parametru konfiguracji SYSNAM w trakcie importu pliku konfiguracyjnego. Osoba atakująca z dostępem administratora może wstrzykiwać szkodliwy skrypt do konfiguracji urządzenia, który może być przechowywany i wykonywany w przeglądarce administratora, gdy wyświetlany jest interfejs podatnego urządzenia.

Pomyślne wykorzystanie luki może prowadzić do kradzieży cookie sesji, nieautoryzowanych zmian konfiguracji lub dostępu do wrażliwych informacji podawanych przez interfejs zarządzania.

CVSS v4.0 Wynik: 5.3 / Średni

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:P/VC:H/VI:L/VA:H/SC:L/SI:N/SA:L

Lista produktów i wersji oprogramowań związanych z opisaną podatnością:

Zalecenia:

Stanowczo zalecamy użytkownikom wspomnianych urządzeń podjęcie następujących działań:

1. Zaktualizuj oprogramowanie podatnych urządzeń do najnowszej wersji, aby naprawić podatność:

Dla produktów z USA: Centrum pobierania TL-SG108PE | TP-Link USA

Dla produktów z Europy: Centrum pobierania TL-SG108PE | TP-Link Polska

Zastrzeżenia:

Ten komunikat jest wydany wyłącznie w celach informacyjnych i może ulec zmianie bez powiadomienia. Informacje są podawane “tak jak są” bez jakichkolwiek gwarancji. TP-Link zaleca swoim klientom zastosowanie aktualizacji oprogramowania lub zaimplementowanie udokumentowanego rozwiązania w tym komunikacie. Urządzenia i systemy, które nie zostaną zaktualizowane lub nie zostanie ograniczona ich podatność, mogą w dalszym ciągu być zagrożone. TP-Link zrzeka się jakiejkolwiek odpowiedzialności za szkody i straty wynikające z niepowodzenia implementacji podanych aktualizacji.