Múltiples vulnerabilidades en VigorConnect de Draytek
Fecha de publicación 13/10/2021
Importancia
5 - Crítica
Recursos Afectados
VigorConnect, versión 1.6.0-B3.
Descripción
Draytek ha informado de una vulnerabilidad de severidad crítica, tres de severidad alta, dos de severidad media y otra baja, que podrían permitir a un atacante descargar archivos arbitrarios del sistema operativo subyacente con privilegios de administrador (root).
Solución
Actualizar a la versión 1.6.1.
Detalle
- Una vulnerabilidad de subida no restringida de archivos en la función de subida de archivos, DownloadFileServlet, podría permitir a un atacante subir archivos a cualquier ubicación del sistema operativo con privilegios de root. Se ha asignado el identificador CVE-2021-20125 para esta vulnerabilidad crítica.
Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-20123, CVE-2021-20124 y CVE-2021-20127.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-20126 y CVE-2021-20129.
Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2021-20128.
Listado de referencias