प्लेटफ़ॉर्म
linux
घटक
wavlink-wl-wn579a3
में ठीक किया गया
220323.0.1
Wavlink WL-WN579A3 के संस्करण 220323 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की पहचान की गई है। यह भेद्यता /cgi-bin/login.cgi फ़ाइल के sub_401F80 फ़ंक्शन को प्रभावित करती है, जहाँ Hostname तर्क में हेरफेर से हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं। दूर से शोषण संभव है, जिससे उपयोगकर्ता डेटा और सिस्टम सुरक्षा को खतरा हो सकता है। अपग्रेड करने की अनुशंसा की जाती है और विक्रेता ने त्वरित रूप से एक फिक्स जारी किया है।
यह XSS भेद्यता हमलावरों को उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिससे वे संवेदनशील जानकारी चुरा सकते हैं, उपयोगकर्ता को फ़िशिंग साइटों पर रीडायरेक्ट कर सकते हैं, या उपयोगकर्ता के खाते पर नियंत्रण कर सकते हैं। यदि हमलावर उपयोगकर्ता के सत्र कुकीज़ तक पहुंच प्राप्त करता है, तो वे उपयोगकर्ता के रूप में कार्य कर सकते हैं और सिस्टम पर अनधिकृत क्रियाएं कर सकते हैं। यह भेद्यता विशेष रूप से उन वातावरणों में खतरनाक है जहाँ कई उपयोगकर्ता एक ही डिवाइस या नेटवर्क का उपयोग करते हैं, क्योंकि एक समझौता किए गए उपयोगकर्ता से अन्य उपयोगकर्ताओं पर हमला फैल सकता है। इस तरह के XSS हमलों का उपयोग अक्सर अन्य भेद्यताओं का फायदा उठाने या सिस्टम पर आगे की दुर्भावनापूर्ण गतिविधि करने के लिए किया जाता है।
इस भेद्यता के बारे में जानकारी 2026-04-19 को सार्वजनिक की गई थी। हालांकि अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन XSS भेद्यताओं का इतिहास उन्हें शोषण के लिए एक सामान्य लक्ष्य बनाता है। यह भेद्यता KEV में सूचीबद्ध नहीं है, और EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन XSS हमलों के लिए कई ऑनलाइन संसाधन उपलब्ध हैं जो हमलावरों को इस भेद्यता का फायदा उठाने में मदद कर सकते हैं।
Small businesses and home users who rely on the Wavlink WL-WN579A3 wireless adapter for network connectivity are at risk. Environments where the device is used as a gateway or access point, potentially exposing internal network resources, face a higher level of risk. Users who have not updated their device's firmware are particularly vulnerable.
• linux / server:
journalctl -u wlan_service | grep -i "login.cgi"• generic web:
curl -I http://<device_ip>/cgi-bin/login.cgi | grep Hostnamedisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
Wavlink WL-WN579A3 के नवीनतम संस्करण में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू किया जा सकता है जो Hostname तर्क में दुर्भावनापूर्ण इनपुट को फ़िल्टर करता है। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके XSS हमलों को कम किया जा सकता है। सुनिश्चित करें कि सभी इनपुट को ठीक से मान्य किया गया है और आउटपुट को सुरक्षित रूप से एन्कोड किया गया है ताकि दुर्भावनापूर्ण स्क्रिप्ट को निष्पादित होने से रोका जा सके। WAF नियमों को Hostname तर्क में विशिष्ट पैटर्न की तलाश में कॉन्फ़िगर किया जाना चाहिए जो XSS हमलों का संकेत दे सकते हैं।
Wavlink WL-WN579A3 डिवाइस को निर्माता द्वारा प्रदान किए गए ठीक किए गए संस्करण में अपडेट करें। फर्मवेयर को अपडेट करने के बारे में विशिष्ट निर्देशों के लिए निर्माता के दस्तावेज़ या वेबसाइट देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-6559 Wavlink WL-WN579A3 के संस्करण 220323 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो Hostname तर्क में हेरफेर के माध्यम से शोषण की अनुमति देती है।
यदि आप Wavlink WL-WN579A3 के संस्करण 220323 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने का सबसे अच्छा तरीका Wavlink WL-WN579A3 के नवीनतम संस्करण में अपग्रेड करना है।
हालांकि अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन XSS भेद्यताओं का इतिहास उन्हें शोषण के लिए एक सामान्य लक्ष्य बनाता है।
कृपया Wavlink की आधिकारिक वेबसाइट पर जाएं या उनके सुरक्षा बुलेटिन के लिए संपर्क करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।