CVE-2022-50994 in Vigor 2960المعلومات

الملخص

بحسب VulDB • 31/05/2026

تحتوي إصدارات برنامج التشغيل (firmware) لجهاز DrayTek Vigor 2960 السابقة للإصدار 1.5.1.4 على ثغرة حقن أوامر نظام التشغيل (OS command injection) في معالج تسجيل الدخول عبر واجهة CGI، مما يسمح لمهاجمين عن بُعد غير مصرح لهم بتنفيذ أوامر عشوائية عن طريق حقن أحرف خاصة بالأوامر (shell metacharacters) في معلمة كلمة المرور (formpassword). يمكن للمهاجمين استغلال المدخلات غير المُطهّرة الممررة إلى نص برمجي (script) يُدعى otp_check.sh لتحقيق تنفيذ الكود عن بُعد (RCE) بصلاحيات خادم الويب. تتطلب عملية الاستغلال معرفة اسم مستخدم صالح، وأن يكون حساب الهدف مفعّلاً عليه مصادقة MOTP.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

VulnCheck

حجز

29/04/2026

إفشاء

08/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362089

CPE

جاهز

CWE

CWE-78 (مؤكد)

CVSS

8.1 (CNA)

EPSS

0.00213

KEV

لا

النشاطات

منخفض جدًا

القطاع

Transportation, Insurance, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2022-50994
NVD	https://nvd.nist.gov/vuln/detail/CVE-2022-50994
CVE Details	https://www.cvedetails.com/cve/CVE-2022-50994/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!