Draytek VigorConnect 1.6.0-B3 WebServlet Endpoint erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine als kritisch klassifizierte Schwachstelle in Draytek VigorConnect 1.6.0-B3 entdeckt. Davon betroffen ist unbekannter Code der Komponente WebServlet Endpoint. Die Bearbeitung verursacht erweiterte Rechte. Diese Schwachstelle trägt die Bezeichnung CVE-2021-20124. Zusätzlich gibt es einen verfügbaren Exploit.
Details
In Draytek VigorConnect 1.6.0-B3 (Router Operating System) wurde eine kritische Schwachstelle gefunden. Dabei geht es um ein unbekannter Prozess der Komponente WebServlet Endpoint. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-73. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt.
Die Schwachstelle wurde am 13.10.2021 als tra-2021-42 an die Öffentlichkeit getragen. Auf tenable.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 17.12.2020 mit CVE-2021-20124 vorgenommen. Es sind zwar keine technische Details, jedoch ein Exploit zur Schwachstelle bekannt.
Er wird als attackiert gehandelt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 211636 (Draytek VigorConnect Unauthenticated LFI (CVE-2021-20124)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (211636) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.4VulDB Meta Temp Score: 6.4
VulDB Base Score: 4.3
VulDB Temp Score: 4.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.5
NVD Vector: 🔍
CNA Base Score: 7.5
CNA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-73
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Attackiert
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 211636
Nessus Name: Draytek VigorConnect Unauthenticated LFI (CVE-2021-20124)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
17.12.2020 🔍13.10.2021 🔍
13.10.2021 🔍
20.11.2024 🔍
Quellen
Advisory: tra-2021-42Status: Bestätigt
CVE: CVE-2021-20124 (🔍)
GCVE (CVE): GCVE-0-2021-20124
GCVE (VulDB): GCVE-100-184378
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 13.10.2021 21:22Aktualisierung: 20.11.2024 19:38
Anpassungen: 13.10.2021 21:22 (39), 20.10.2021 10:52 (1), 03.09.2024 20:44 (42), 03.09.2024 23:58 (14), 30.09.2024 05:12 (1), 20.11.2024 19:38 (4)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.