Vulnerabilidad en MITRE (CVE-2024-41339)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-434
Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
27/02/2025
Última modificación:
03/06/2025
Descripción
Un problema en el endpoint CGI utilizado para cargar configuraciones en dispositivos Draytek Vigor 165/166 anterior a v4.2.6, Vigor 2620/LTE200 anterior a v3.9.8.8, Vigor 2860/2925 anterior a v3.9.7, Vigor 2862/2926 anterior a v3.9.9.4, Vigor 2133/2762/2832 anterior a v3.9.8, Vigor 2135/2765/2766 anterior a v4.4.5.1, Vigor 2865/2866/2927 anterior a v4.4.5.3, Vigor 2962/3910 anterior a v4.3.2.7, Vigor 3912 anterior a v4.3.5.2 y Vigor 2925 hasta v3.9.6 permite a los atacantes cargar un módulo de kernel manipulado específicamente, lo que permite la ejecución de código arbitrario.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:draytek:vigor165_firmware:*:*:*:*:*:*:*:* | 4.2.7 (excluyendo) | |
| cpe:2.3:h:draytek:vigor165:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:draytek:vigor166_firmware:*:*:*:*:*:*:*:* | 4.2.7 (excluyendo) | |
| cpe:2.3:h:draytek:vigor166:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:draytek:vigor2620_firmware:*:*:*:*:*:*:*:* | 3.9.8.9 (excluyendo) | |
| cpe:2.3:h:draytek:vigor2620:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:draytek:vigorlte200_firmware:*:*:*:*:*:*:*:* | 3.9.8.9 (excluyendo) | |
| cpe:2.3:h:draytek:vigorlte200:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:draytek:vigor2860_firmware:*:*:*:*:*:*:*:* | 3.9.8 (excluyendo) | |
| cpe:2.3:h:draytek:vigor2860:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:draytek:vigor2925_firmware:*:*:*:*:*:*:*:* | 3.9.8 (excluyendo) | |
| cpe:2.3:h:draytek:vigor2925:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:draytek:vigor2862_firmware:*:*:*:*:*:*:*:* | 3.9.9.5 (excluyendo) | |
| cpe:2.3:h:draytek:vigor2862:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:draytek:vigor2926_firmware:*:*:*:*:*:*:*:* | 3.9.9.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página