CVE-2021-20124
CVE-2021-20124
Vexday Risk Score
78Prioridad alta
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 7.5EPSS 69.2%KEV simPoC —Nuclei simMetasploit —Patch —
Ciclo de vida
13 oct 2021Publicada en NVD
03 sep 2024Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Una falla de seguridad en Draytek VigorConnect permite que atacantes descarguen cualquier archivo del sistema sin iniciar sesión, exponiendo información sensible como contraseñas y configuraciones.
Detalle técnico
Vulnerabilidad de inclusión local de archivos (path traversal, CWE-22) en el endpoint de descarga de archivos de WebServlet permite la lectura no autenticada de archivos arbitrarios con privilegios root. El ataque requiere solo manipulación de solicitud HTTP; sin necesidad de autenticación o condiciones previas especiales. El impacto incluye acceso no autorizado a archivos sensibles del sistema.
Resumen generado y traducido por IA a partir de la descripción oficial.
A local file inclusion vulnerability exists in Draytek VigorConnect 1.6.0-B3 in the file download functionality of the WebServlet endpoint. An unauthenticated attacker could leverage this vulnerability to download arbitrary files from the underlying operating system with root privileges.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
n/a · Draytek VigorConnect¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →