← Menace / CVE-2020-15415
CVE-2020-15415
Critique
DrayTek Multiple Vigor Routers OS Command Injection Vulnerability.
DrayTek · Multiple Vigor Routers
Exploitabilité (EPSS)
84.6 %
percentile mondial 100
Sévérité (CVSS)
9.8
CVSS v3.1
Ajoutée au KEV
30 sept. 2024
échéance CISA · 21 oct. 2024
Description
DrayTek Vigor3900, Vigor2960, and Vigor300B devices contain an OS command injection vulnerability in cgi-bin/mainfunction.cgi/cvmcfgupload that allows for remote code execution via shell metacharacters in a filename when the text/x-python-script content type is used.
Action requise (CISA)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Familles de faiblesses
CWE-78 · Injection de commande système (OS)
Signal de priorisation (inspiré SSVC)
Examiner rapidement
Exploitation
Active (catalogue KEV)
Active (catalogue KEV)
Automatisable
Inconnu
Inconnu
Impact technique
Total
Total
Orientation, pas une décision : le 4ᵉ facteur SSVC (impact mission/société) dépend du contexte de votre organisation. Méthode ↗