ГлавнаяБаза уязвимостей БДУ → BDU:2024-08912
7.7высокая

BDU:2024-08912

Уязвимость функции doPPPoE в файле cgi-bin/mainfunction.cgi микропрограммного обеспечения маршрутизатора DrayTek Vigor 2960, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-11-02
Описание

Уязвимость функции doPPPoE в файле cgi-bin/mainfunction.cgi микропрограммного обеспечения маршрутизатора DrayTek Vigor 2960 существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированной команды

Затрагиваемое ПО и версии
Vigor2960 (до 1.5.1.6)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение функционала удалённого доступа к веб-интерфейсу управления маршрутизатором;
- соблюдение парольной политики при создании учётных записей для управления маршрутизатором;
- отключение/удаление неиспользуемых учётных записей пользователей;
- использование систем обнаружения и предотвращения вторжений с целью выявления и реагирования на попытки эксплуатации уязвимости.

Использование рекомендаций:
https://www.draytek.co.uk/support/downloads/vigor-2960/

Оценка CVSS
Балл7.7 — высокая опасность
Источники и патчи
https://www.draytek.co.uk/support/downloads/vigor-2960/https://github.com/Giles-one/Vigor2960Crack
Проверьте безопасность своего сайта и почты → Полная проверка домена