CVE-2021-20124
CVE-2021-20124
En resumen
Una falla de seguridad en Draytek VigorConnect permite que atacantes descarguen cualquier archivo del sistema sin iniciar sesión, exponiendo información sensible como contraseñas y configuraciones.
Detalle técnico
Vulnerabilidad de inclusión local de archivos (path traversal, CWE-22) en el endpoint de descarga de archivos de WebServlet permite la lectura no autenticada de archivos arbitrarios con privilegios root. El ataque requiere solo manipulación de solicitud HTTP; sin necesidad de autenticación o condiciones previas especiales. El impacto incluye acceso no autorizado a archivos sensibles del sistema.
Resumen generado y traducido por IA a partir de la descripción oficial.
A local file inclusion vulnerability exists in Draytek VigorConnect 1.6.0-B3 in the file download functionality of the WebServlet endpoint. An unauthenticated attacker could leverage this vulnerability to download arbitrary files from the underlying operating system with root privileges.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
n/a · Draytek VigorConnect¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →