PT-2021-8210 · Draytek · Draytek Vigorconnect
Publicado
2021-10-12
·
Atualizado
2021-10-19
·
CVE-2021-20128
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Draytek VigorConnect versão 1.6.0-B3
Descrição
O problema está relacionado a uma vulnerabilidade XSS armazenada no campo Nome do Perfil da página de planta baixa no Menu Rede. Essa vulnerabilidade surge porque a entrada do usuário não é devidamente sanitizada, permitindo que um invasor realize um ataque de script entre sites. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute um ataque de script entre sites.
Recomendações
Para o Draytek VigorConnect versão 1.6.0-B3, considere desativar o campo Nome do Perfil na página de planta baixa até que uma correção esteja disponível para impedir a exploração da vulnerabilidade XSS armazenada. Restrinja o acesso à página do Menu de Rede para minimizar o risco de exploração. Evite usar o campo Nome do Perfil até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Draytek Vigorconnect