安全性公告:TL-SG108PE 存在透過設定檔匯入實現的儲存型跨站腳本攻擊 (XSS) (CVE-2026-34127)
漏洞與影響描述:
CVE-2026-34127
在 TL-SG108PE v5.6 交換器的網頁管理介面中,發現了一項儲存型跨網站指令碼 (XSS) 漏洞。這是因為在匯入設定檔時,未對 SYSNAM 設定參數進行適當的清理過濾。具有管理員權限的攻擊者可將惡意指令碼注入設備設定中,該指令碼可能會被儲存,並在查看受影響的介面時於管理員的瀏覽器中執行。
若成功利用此漏洞,可能會允許竊取工作階段 Cookie (session cookie)、進行未經授權的設定變更,或存取透過管理介面暴露的敏感資訊。
CVSS v4.0 分數:5.3 / 中
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:P/VC:H/VI:L/VA:H/SC:L/SI:N/SA:L
受影響的產品/版本與修復:
|
產品型號 |
硬體版本 |
修復的韌體版本 |
|
TL-SG108PE |
V5 |
1.0.1 Build 260330 |
建議:
我們強烈建議擁有受影響設備的使用者採取以下行動:
- 將受影響的設備更新至修復該漏洞的最新韌體版本:
US: 下載 TL-SG108PE 韌體 | TP-Link
EN: 下載 TL-SG108PE 韌體 | TP-Link
免責聲明:
本公告僅供參考,如有變更,恕不另行通知。所提供之資訊均以「現狀」提供,不附帶任何形式的保證。TP-Link 建議客戶盡速套用可用的韌體更新,或實施本公告中提供的權變措施。未依所述進行更新或緩解的設備/系統可能仍存在漏洞風險。
更多相關文章
這篇faq是否有用?
您的反饋將幫助我們改善網站
TP-Link Community
Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.