CVE-2024-41587
Es bestehen mehrere Schwachstellen in DrayTek Vigor Routern. Diese Fehler sind auf verschiedene sicherheitsrelevante Probleme zurückzuführen, wie z. B. unsachgemäße Eingabevalidierung, unzureichende Bereinigung und fehlende Boundary Checks in der Web-UI, was zu Problemen wie XSS, Buffer Overflows und Command Injection führt. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Cross-Site-Scripting-Angriffe durchzuführen, vertrauliche Informationen preiszugeben und einen Denial-of-Service-Zustand zu erzeugen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt werden zu können.
EPSS 0.17% · 38.6th percentile
Risk Scores
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| draytek | DrayTek Vigor Vigor2860, Vigor2925 <3.9.8 | |
| draytek | DrayTek Vigor Vigor2915 <4.4.5.3 | |
| draytek | DrayTek Vigor Vigor1000B, Vigor2962, Vigor3910 <4.4.3.1 | |
| draytek | DrayTek Vigor Vigor2862, Vigor2926 <3.9.9.5 | |
| draytek | DrayTek Vigor Vigor2865, Vigor2866 <4.4.5.2 | |
| draytek | DrayTek Vigor Vigor2620, VigorLTE200 <3.9.8.9 | |
| draytek | DrayTek Vigor Vigor2133, Vigor2762, Vigor2832 <3.9.9 | |
| draytek | DrayTek Vigor Vigor3912 <4.3.6.1 | |
| draytek | DrayTek Vigor Vigor2135, Vigor2763, Vigor2765, Vigor2766 <4.4.5.3 | |
| draytek | DrayTek Vigor Vigor165, Vigor166 <4.2.7 | |
| draytek | DrayTek Vigor Vigor1000B, Vigor2962, Vigor3910 <4.3.2.8 | |
| draytek | DrayTek Vigor Vigor2952, Vigor3220 <3.9.8.2 |
Timeline
- Oct 3, 2024 CVE Published
- Oct 4, 2024 EPSS Score
- Oct 4, 2024 Coalition ESS Score
- Oct 17, 2024 Coalition ESS Score
- Oct 23, 2024 EPSS Score
- Nov 11, 2024 EPSS Score
- Nov 30, 2024 EPSS Score
- Dec 20, 2024 EPSS Score
- Jan 8, 2025 EPSS Score
- Jan 27, 2025 EPSS Score
- Feb 15, 2025 EPSS Score
- Mar 6, 2025 EPSS Score
References
- https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-3086.json advisory
- https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-3086 advisory
- https://www.draytek.com/about/security-advisory/cross-site-scripting,-denial-of-service-and-remote-code-execution-vulnerabilities advisory
- https://www.draytek.com/about/security-advisory/buffer-overflow-vulnerability advisory