CVE-2021-20124
CVE-2021-20124
Em resumo
Uma falha de segurança no Draytek VigorConnect permite que atacantes baixem qualquer arquivo do sistema sem fazer login, expondo informações sensíveis como senhas e configurações.
Detalhe técnico
Vulnerabilidade de inclusão de arquivo local (path traversal, CWE-22) no endpoint de download de arquivos do WebServlet permite leitura não autenticada de arquivos arbitrários com privilégios root. O ataque requer apenas manipulação de requisição HTTP; sem necessidade de autenticação ou pré-condições especiais. Impacto inclui acesso não autorizado a arquivos sensíveis do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A local file inclusion vulnerability exists in Draytek VigorConnect 1.6.0-B3 in the file download functionality of the WebServlet endpoint. An unauthenticated attacker could leverage this vulnerability to download arbitrary files from the underlying operating system with root privileges.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
n/a · Draytek VigorConnectQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →