OnCell 3120-LTE-1 系列固件版本 2.3 及更早版本受到旧版 jQuery 中多个漏洞的影响,可能让用户面临诸多安全风险,如跨站脚本 (XSS) 攻击、原型污染等。
确定的漏洞类型和潜在影响如下所示:
| 序号 |
漏洞类型 |
影响 |
| 1 |
在网页页面生成期间未正确中和输入(“跨站脚本”)(CWE-79)
CVE-2020-7656, CVE-2020-11022, CVE-2020-11023 (jQuery)
|
远程攻击者可通过 Web 接口将 HTML 或 JavaScript 插入系统。 |
| 2 |
对象原型属性修改的不恰当控制(原型污染)(CWE-1321)
CVE-2019-11358 (jQuery)
|
攻击者可植入用于其他组件的属性。 |
漏洞评分信息
|
ID
|
CVSS
|
v3.1 漏洞载体
|
严重程度
|
是否无需身份验证即可远程利用漏洞
|
| CVE-2019-11358 |
6.1
|
AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
|
中等 |
是 |
| CVE-2020-7656 |
6.1 |
AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
中等 |
是 |
| CVE-2020-11022 |
6.1 |
AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
中等 |
是 |
| CVE-2020-11023 |
6.1 |
AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
中等 |
是 |