Выполнение произвольного кода в Draytek routers
Уязвимое программное обеспечение
- Vigor165: до 4.2.7
- Vigor166: до 4.2.7
- Vigor2620 LTE: до 3.9.8.9
- VigorLTE 200n: до 3.9.8.9
- Vigor2133: до 3.9.9
- Vigor2135: до 4.4.5.1
- Vigor2762: до 3.9.9
- Vigor2765: до 4.4.5.1
- Vigor2766: до 4.4.5.1
- Vigor2832: до 3.9.9
- Vigor2860: до 3.9.8
- Vigor2860 LTE: до 3.9.8
- Vigor2862: до 3.9.9.5
- Vigor2862 LTE: до 3.9.9.5
- Vigor2865: до 4.4.5.3
- Vigor2865 LTE: до 4.4.5.3
- Vigor2865L-5G: до 4.4.5.3
- Vigor2866: до 4.4.5.3
- Vigor2866 LTE: до 4.4.5.3
- Vigor2915: до 4.4.5
- Vigor2925: до 3.9.8
- Vigor2925 LTE: до 3.9.8
- Vigor2926: до 3.9.8
- Vigor2926 LTE: до 3.9.8
- Vigor2927: до 4.4.5.3
- Vigor2927L-5G: до 4.4.5.3
- Vigor2952: до 3.9.8.2
- Vigor2952P: до 3.9.8.2
- Vigor2927 LTE: до 4.4.5.3
- Vigor2962: до 4.3.2.8
- Vigor3220: до 3.9.8.2
- Vigor3910: до 4.3.2.8
- Vigor3912: до 4.3.6.1
Последствия эксплуатации
ACE: Выполнение произвольного кода
Common Vulnerability Scoring System
Рейтинг: КРИТИЧЕСКИЙ
Оценка: 9.8
Вектор: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Вектор атаки: Сетевой
Сложность атаки: Низкая
Требуемые привилегии: Нет
Границы эксплуатации: Неизменный
Влияние на Конфиденциальность: Высокая
Влияние на Целостность: Высокая
Влияние на Доступность: Высокая
Метод эксплуатации
Отправка специально сформированных данных.
Взаимодействие с пользователем: Отсутствует
Уменьшение последствий
Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Наличие обновления: Есть
Common Weakness Enumeration
CWE: 94
Описание: Некорректное управление генерированием кода (внедрение кода)
Ссылки
- https://draytek.com
- https://medium.com/faraday/advisory-multiple-vulnerabilities-affecting-draytek-routers-78a6cb8b3946
- https://www.draytek.com/about/security-advisory/denial-of-service,-information-disclosure,-and-code-...
