CVE-2024-41584

Nome do software vulnerável e versões afetadas:

DrayTek Vigor3910 versões 4.3.2.6 e anteriores

Descrição:

O problema é causado por uma vulnerabilidade XSS refletida devido à falta de validação do parâmetro sFormAuthStr. Isso permite que usuários autenticados realizem ataques de cross-site scripting. A vulnerabilidade existe no script wlogin.cgi da interface web dos dispositivos DrayTek Vigor3910, que não protege a estrutura das páginas web, permitindo que invasores remotos realizem ataques de cross-site scripting.

Recomendações:

Para as versões 4.3.2.6 e anteriores do DrayTek Vigor3910, como solução temporária, considere desativar o script wlogin.cgi até que um patch esteja disponível. Restrinja o acesso ao parâmetro vulnerável sFormAuthStr no endpoint da API afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.