Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11412

Опубликовано: 05 июл. 2020
Источник: fstec
CVSS3: 5.4
CVSS2: 5.5
EPSS Низкий

Описание

Уязвимость модуля RADIUS Setting - RADIUS Server Configuration программного обеспечения для мониторинга, управления и настройки точек доступа Draytek VigorAP связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить атаку межсайтового скриптинга (XSS)

Вендор

DrayTek

Наименование ПО

VigorAP 1000C
VigorAP 700
VigorAP 710
VigorAP 800
VigorAP 802
VigorAP 810
VigorAP 900
VigorAP 902
VigorAP 903
VigorAP 910C
VigorAP 912C
VigorAP 918R
VigorAP 920R

Версия ПО

1.3.2 (VigorAP 1000C)
1.11 (VigorAP 700)
1.2.5 (VigorAP 710)
1.1.4 (VigorAP 800)
1.3.2 (VigorAP 802)
1.2.5 (VigorAP 810)
1.2.0 (VigorAP 900)
1.2.5 (VigorAP 902)
1.3.1 (VigorAP 903)
1.2.5 (VigorAP 910C)
1.3.2 (VigorAP 912C)
1.3.2 (VigorAP 918R)
1.3.0 (VigorAP 920R)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- ограничение доступа из внешних сетей (Интернет);
- отключение/ограничение функции удаленного управления для предотвращения попыток эксплуатации уязвимости (например, запрет использования незащищенных протоколов, таких как HTTP или Telnet);
- соблюдение парольной политики принятой для организации доступа к устройству;
- сегментирование сети для ограничения доступа к уязвимому устройству;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 43%
0.00206
Низкий

5.4 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-28968

CVSS3: 5.4
nvd
больше 4 лет назад

Draytek VigorAP 1000C contains a stored cross-site scripting (XSS) vulnerability in the RADIUS Setting - RADIUS Server Configuration module. This vulnerability allows attackers to execute arbitrary web scripts or HTML via a crafted payload in the username input field.

github логотип

GHSA-vr5f-m5f2-8mpp

github
больше 3 лет назад

Draytek VigorAP 1000C contains a stored cross-site scripting (XSS) vulnerability in the RADIUS Setting - RADIUS Server Configuration module. This vulnerability allows attackers to execute arbitrary web scripts or HTML via a crafted payload in the username input field.

EPSS

Процентиль: 43%
0.00206
Низкий

5.4 Medium

CVSS3

5.5 Medium

CVSS2