検出

DrayTek Vigor 1.5.1.4 < 1.5.1.5 コマンドインジェクション

critical Nessus プラグイン ID 242052

Language:

概要

リモートホストにセキュリティ更新がありません。

説明

リモートホストにインストールされている DrakTek Vigor のバージョンは、1.5.1.4 です。したがって、重大として分類された脆弱性の影響を受けます。影響を受けるのは、コンポーネントウェブ管理インターフェースのファイル /cgi-bin/mainfunction.cgi/apmcfgupload の未知の関数です。引数セッションの操作により、os コマンドインジェクションが発生します。リモートで攻撃を仕掛けることが可能です。このエクスプロイトは一般に公開されており、使用される可能性があります。バージョン 1.5.1.5にアップグレードすると、この問題に対処できます。影響を受けるコンポーネントをアップグレードすることが推奨されます。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

DrakTek Vigor バージョン 1.5.1.5 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?05b6ef61

http://www.nessus.org/u?95656813

http://www.nessus.org/u?ab897c45

プラグインの詳細

深刻度: Critical

ID: 242052

ファイル名: draytek_vigor_cve-2024-12987.nasl

バージョン: 1.1

タイプ: remote

ファミリー: Misc.

公開日: 2025/7/14

更新日: 2025/7/14

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-12987

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/h:draytek:vigor

必要な KB アイテム: installed_sw/DrayTek Vigor, SNMP/port

パッチ公開日: 2024/12/27

脆弱性公開日: 2024/12/27

CISA の既知の悪用された脆弱性の期限日: 2025/6/5

参照情報

CVE: CVE-2024-12987