CVE-2024-41585


2024. október 9. 08:13

DrayTek Vigor3910 sérülékenysége
Angol cím: DrayTek Vigor3910 Vulnerability

Publikálás dátuma: 2024.10.03.
Utolsó módosítás dátuma: 2024.10.07.

Leírás

A program nem, vagy helytelenül semlegesíti azokat az elemeket a bemenetből, melyek módosíthatják a tervezett operációs rendszer parancsot, amikor azt a következő komponensnek küldi.

Leírás forrása: CWE-78

Elemzés leírás

Eredeti nyelven: DrayTek Vigor3910 devices through 4.3.2.6 are affected by an OS command injection vulnerability that allows an attacker to leverage the recvCmd binary to escape from the emulated instance and inject arbitrary commands into the host machine.

Elemzés leírás forrása: CVE-2024-41585

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 6.8 (Közepes)
Vector: AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 0.9

Attack Vector (AV): Adjacent
Attack Complexity (AC): Low
Privileges Required (PR): High
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

Következmények

Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

forescout.com

Sérülékeny szoftverek

DrayTek Vigor3910 készülékek 4.3.2.6-ig

Címkék

DrayTek Vigor

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »