BDU:2022-04804
Оценки
EPSS
Процентиль: 0.0%
CVSS
Оценка CVSS: 9.8/10
Все оценки CVSS
Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Требуемые привилегии
Отсутствуют (N)
Описывает уровень привилегий, которыми должен обладать атакующий
Взаимодействие с пользователем
Отсутствует (N)
Отражает требование участия человека в атаке
Область воздействия
Неизменная (U)
Определяет, влияет ли успешная атака на компоненты за пределами уязвимого компонента
Воздействие на конфиденциальность
Высокое (H)
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Высокое (H)
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Высокое (H)
Измеряет воздействие на доступность затронутого компонента
Вектор: AV:N/AC:L/Au:N/C:C/I:C/A:C
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Аутентификация
Отсутствуют (N)
Описывает уровень привилегий, которыми должен обладать атакующий
Воздействие на конфиденциальность
Complete
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Complete
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Complete
Измеряет воздействие на доступность затронутого компонента
Описание
Уязвимость сценария /cgi-bin/wlogin.cgi веб-интерфейса управления микропрограммного обеспечения маршрутизаторов DrayTek Vigor связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного HTTP POST-запроса в кодировке base64 уязвимому сценарию
Сканер-ВС 7 — современное решение для управления уязвимостями
Источники
Связанные уязвимости
Эксплойты
ID эксплойта: CVE-2022-32548
Источник: github-poc
Справочные ссылки
Рекомендации
Источник: bdu
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение доступа к веб-интерфейсу управления;
- принудительная смена паролей на затронутых устройствах;
- проверка настроек VPN-доступа и DNS.
Уязвимое ПО (25)
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 1000b
Операционная система: * *
{ "version_end_excluding": "4.3.1.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 130
Операционная система: * *
{ "version_end_excluding": "3.8.5"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 165
Операционная система: * *
{ "version_end_excluding": "4.2.4"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 166
Операционная система: * *
{ "version_end_excluding": "4.2.4"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 167
Операционная система: * *
{ "version_end_excluding": "5.1.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 200n
Операционная система: * *
{ "version_end_excluding": "3.9.8.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2133
Операционная система: * *
{ "version_end_excluding": "3.9.6.4"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2135
Операционная система: * *
{ "version_end_excluding": "4.4.2"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2620
Операционная система: * *
{ "version_end_excluding": "3.9.8.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2762
Операционная система: * *
{ "version_end_excluding": "3.9.6.4"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2765
Операционная система: * *
{ "version_end_excluding": "4.4.2"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2766
Операционная система: * *
{ "version_end_excluding": "4.4.2"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2832
Операционная система: * *
{ "version_end_excluding": "3.9.6"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2862
Операционная система: * *
{ "version_end_excluding": "3.9.8.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2865
Операционная система: * *
{ "version_end_excluding": "4.4.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2866
Операционная система: * *
{ "version_end_excluding": "4.4.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2915
Операционная система: * *
{ "version_end_excluding": "4.3.3.2"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2926
Операционная система: * *
{ "version_end_excluding": "3.9.8.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2927
Операционная система: * *
{ "version_end_excluding": "4.4.0"}
Источник: bdu
Тип: Конфигурация
Поставщик: draytek
Продукт: vigor 2952
Операционная система: * *
{ "version_end_excluding": "3.9.7.2"}
Источник: bdu