Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en VigorConnect de Draytek

Múltiples vulnerabilidades en VigorConnect de Draytek

Fecha de publicación: 
13/10/2021
Importancia: 
5 - Crítica
Recursos afectados: 

VigorConnect, versión 1.6.0-B3.

Descripción: 

Draytek ha informado de una vulnerabilidad de severidad crítica, tres de severidad alta, dos de severidad media y otra baja, que podrían permitir a un atacante descargar archivos arbitrarios del sistema operativo subyacente con privilegios de administrador (root).

Solución: 

Actualizar a la versión 1.6.1.

Detalle: 
  • Una vulnerabilidad de subida no restringida de archivos en la función de subida de archivos, DownloadFileServlet, podría permitir a un atacante subir archivos a cualquier ubicación del sistema operativo con privilegios de root. Se ha asignado el identificador CVE-2021-20125 para esta vulnerabilidad crítica.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-20123, CVE-2021-20124 y CVE-2021-20127.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-20126 y CVE-2021-20129.

Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2021-20128.

Encuesta valoración