PT-2021-8208 · Draytek · Draytek Vigorconnect
Publicado
2021-10-12
·
Atualizado
2021-10-19
·
CVE-2021-20126
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
DrayTek VigorConnect versão 1.6.0-B3
Descrição
O problema está relacionado à falta de proteções contra falsificação de solicitações entre sites (CSRF) e à verificação insuficiente de solicitações bem formadas, válidas e consistentes. Isso poderia permitir que um invasor remoto explorasse a vulnerabilidade.
Recomendações
Para o DrayTek VigorConnect versão 1.6.0-B3, considere implementar medidas de segurança adicionais para proteção contra ataques de falsificação de solicitação entre sites até que um patch esteja disponível. Como solução temporária, restrinja o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Unrestricted File Upload
Path traversal
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Draytek Vigorconnect