Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en VigorConnect de Draytek

Fecha de publicación 13/10/2021
Importancia
5 - Crítica
Recursos Afectados

VigorConnect, versión 1.6.0-B3.

Descripción

Draytek ha informado de una vulnerabilidad de severidad crítica, tres de severidad alta, dos de severidad media y otra baja, que podrían permitir a un atacante descargar archivos arbitrarios del sistema operativo subyacente con privilegios de administrador (root).

Solución

Actualizar a la versión 1.6.1.

Detalle
  • Una vulnerabilidad de subida no restringida de archivos en la función de subida de archivos, DownloadFileServlet, podría permitir a un atacante subir archivos a cualquier ubicación del sistema operativo con privilegios de root. Se ha asignado el identificador CVE-2021-20125 para esta vulnerabilidad crítica.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-20123, CVE-2021-20124 y CVE-2021-20127.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-20126 y CVE-2021-20129.

Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2021-20128.

Encuesta valoración

Listado de referencias
Multiple Vulnerabilities in Draytek VigoConnect 1.60.0-B3
Etiquetas