PT-2020-6998 · Draytek · Vigorap 1000C
Benjamin Kunz Mejri
·
Publicado
2020-07-05
·
Atualizado
2021-10-28
·
CVE-2020-28968
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Draytek VigorAP 1000C (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma vulnerabilidade de cross-site scripting (XSS) armazenada no módulo RADIUS Setting - RADIUS Server Configuration. Isso permite que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa no campo de entrada
username. A vulnerabilidade está associada à falta de proteção da estrutura da página da web, que pode ser explorada por um invasor remoto para realizar um ataque XSS.Recomendações
Como solução temporária, considere desativar o módulo Configuração RADIUS - Configuração do Servidor RADIUS até que uma correção esteja disponível.
Restrinja o acesso à Configuração do Servidor RADIUS para minimizar o risco de exploração.
Evite usar o campo de entrada
username no módulo afetado até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vigorap 1000C