Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11406

Опубликовано: 21 июл. 2021
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость сценария mainfunction.cgii веб-интерфейса микропрограммного обеспечения маршрутизаторов DrayTek Vigor существует с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

DrayTek

Наименование ПО

Vigor 2960
Vigor 3900
Vigor300B

Версия ПО

1.5.1.3 (Vigor 2960)
1.5.1.3 (Vigor 3900)
1.5.1.3 (Vigor300B)

Тип ПО

Сетевое средство
Микропрограммный код

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- обеспечьте комплексную видимость устройств периметра сети, включая программное обеспечение, на котором они работают, и шаблоны связи;
- оцените их профиль риска, уделяя особое внимание уязвимостям, слабым конфигурациям, уязвимости в Интернете и другим факторам;
- замените стандартные или легко угадываемые учетные данные и используйте надежные, уникальные пароли для каждого устройства;
- своевременно устанавливайте исправления для устройств и рассмотрите возможность замены устройств с истекшим сроком службы, которые больше не могут быть обновлены;
- сегментируйте свою сеть, чтобы гарантировать, что если злоумышленники получат первоначальный доступ через маршрутизатор, они не смогут немедленно получить доступ ко всем критически важным устройствам в вашей сети.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.32082
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-43118

CVSS3: 9.8
nvd
почти 4 года назад

A Remote Command Injection vulnerability exists in DrayTek Vigor 2960 1.5.1.3, DrayTek Vigor 3900 1.5.1.3, and DrayTek Vigor 300B 1.5.1.3 via a crafted HTTP message containing malformed QUERY STRING in mainfunction.cgi, which could let a remote malicious user execute arbitrary code.

github логотип

GHSA-3q87-6fcw-7mj7

CVSS3: 9.8
github
почти 4 года назад

A Remote Command Injection vulnerability exists in DrayTek Vigor 2960 1.5.1.3, DrayTek Vigor 3900 1.5.1.3, and DrayTek Vigor 300B 1.5.1.3 via a crafted HTTP message containing malformed QUERY STRING in mainfunction.cgi, which could let a remote malicious user execute arbitrary code.

EPSS

Процентиль: 97%
0.32082
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2