Katalog CVE

CVE-2026-8699

WysokieCVSS 7.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

W interfejsie zarządzania routera Archer C5 v6.8 wykryto podatność na trwały atak XSS. Brak odpowiedniej walidacji i kodowania danych wejściowych umożliwia administratorowi wstrzyknięcie złośliwego kodu HTML/JS, który jest wykonywany podczas przeglądania strony przez innego administratora.

Ocena ryzyka

Atakujący może przejąć sesję administratora, uzyskać nieautoryzowany dostęp do konfiguracji routera, a w konsekwencji ujawnić wrażliwe dane lub zmodyfikować ustawienia urządzenia.

Rekomendacja

Należy skontaktować się z dostawcą usług internetowych w celu uzyskania aktualizacji oprogramowania układowego, która usuwa podatność. Do czasu aktualizacji ogranicz dostęp do panelu administracyjnego tylko do zaufanych adresów IP.

Oryginalny opis (angielski, źródło NVD)

A stored Cross-Site Scripting (XSS) vulnerability has been identified in the web-based management interface of Archer C5 v6.8 routers, due to insufficient server-side validation and lack of proper output encoding of user-controlled input in a certain field.  An attacker with administrative privileges can inject crafted HTML or JS payloads into the affected field. The payload is stored and later executed when the affected page is rendered in an administrator's browser.Successful exploitation allows execution of arbitrary JavaScript in an admin's browser, potentially leading to session hijacking and unauthorized access to router configuration, possibly resulting in exposure of sensitive data and modification of device settings. The vulnerability affects ISP-managed firmware variants of the product. Remediation is coordinated through service providers.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS