BDU:2025-09910

Опубликовано: 04 авг. 2025

Источник: fstec

CVSS3: 8.6

CVSS2: 9

EPSS Низкий

Описание

Уязвимость веб-интерфейса микропрограммного обеспечения точек доступа Draytek Vigor Access Points связана с использованием жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

DrayTek

Наименование ПО

VigorAP 903

VigorAP 912C

VigorAP 918R

Версия ПО

1.4.18 (VigorAP 903)

1.4.9 (VigorAP 912C)

1.4.9 (VigorAP 918R)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,6)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;

- ограничение доступа из внешних сетей (Интернет);

- отключение/ограничение функции удаленного управления для предотвращения попыток эксплуатации уязвимости (например, запрет использования незащищенных протоколов, таких как HTTP или Telnet);

- соблюдение парольной политики принятой для организации доступа к устройству;

- сегментирование сети для ограничения доступа к уязвимому устройству;

- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-44643
CVE

EPSS

Процентиль: 17%

0.00053

Низкий

8.6 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2025-44643

CVSS3: 8.6

nvd

6 месяцев назад

Certain Draytek products are affected by Insecure Configuration. This affects AP903 v1.4.18 and AP912C v1.4.9 and AP918R v1.4.9. The setting of the password property in the ripd.conf configuration file sets a hardcoded weak password, posing a security risk. An attacker with network access could exploit this to gain unauthorized control over the routing daemon, potentially altering network routes or intercepting traffic.

GHSA-gc7r-mcv2-9fm9

CVSS3: 8.6

github

6 месяцев назад

Certain Draytek products are affected by Insecure Permissions. This affects AP903 v1.4.18 and AP912C v1.4.9 and AP918R v1.4.9. The setting of the secret field in the FreeRadius-related clients.conf configuration file sets a hardcoded weak password, posing a security risk.

EPSS

Процентиль: 17%

0.00053

Низкий

8.6 High

CVSS3

9 Critical

CVSS2