ГлавнаяБаза уязвимостей БДУ → BDU:2024-11416
6.8средняя

BDU:2024-11416 (CVE-2023-1163)

Уязвимость функции getSyslogFile сценария mainfunction.cgi веб-интерфейса микропрограммного обеспечения маршрутизаторов DrayTek Vigor, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным системным файлам
Опубликовано: 2024-12-23
Описание

Уязвимость функции getSyslogFile сценария mainfunction.cgi веб-интерфейса микропрограммного обеспечения маршрутизаторов DrayTek Vigor связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к конфиденциальным системным файлам

Затрагиваемое ПО и версии
Vigor 2960 (1.5.1.4)Vigor 2960 (1.5.1.5)
Способ устранения

Компенсирующие меры:
- обеспечьте комплексную видимость устройств периметра сети, включая программное обеспечение, на котором они работают, и шаблоны связи;
- оцените их профиль риска, уделяя особое внимание уязвимостям, слабым конфигурациям, уязвимости в Интернете и другим факторам;
- замените стандартные или легко угадываемые учетные данные и используйте надежные, уникальные пароли для каждого устройства;
- своевременно устанавливайте исправления для устройств и рассмотрите возможность замены устройств с истекшим сроком службы, которые больше не могут быть обновлены;
- сегментируйте свою сеть, чтобы гарантировать, что если злоумышленники получат первоначальный доступ через маршрутизатор, они не смогут немедленно получить доступ ко всем критически важным устройствам в вашей сети.

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://github.com/xxy1126/Vuln/blob/main/Draytek/3.mdhttps://vuldb.com/?id.222259https://cve.circl.lu/cve/CVE-2023-1163
Проверьте безопасность своего сайта и почты → Полная проверка домена