DrayTek Vigor: alerta de seguridad informática por nueva vulnerabilidad

hace 3 meses · Actualizado hace 3 meses

Como informa ahora BSI, se ha identificado una vulnerabilidad para DrayTek Vigor. Puede leer una descripción de la vulnerabilidad de seguridad y una lista de sistemas operativos y productos afectados aquí.

Las últimas recomendaciones del fabricante con respecto a actualizaciones, correcciones y parches de seguridad para esta vulnerabilidad se pueden encontrar aquí: prueba de concepto (Al 29 de diciembre de 2024). Otros enlaces útiles se enumeran más adelante en este artículo.

Más información

Declaración de seguridad para DrayTek Vigor - Riesgo: moderado
Error de DrayTek Vigor: Vigor permite la ejecución de código
Oferta de productos de válvulas de seguridad
Medidas generales para hacer frente a las vulnerabilidades de TI
Información del fabricante sobre actualizaciones, parches y soluciones
La fecha de revisión de este aviso de seguridad.

Declaración de seguridad para DrayTek Vigor - Riesgo: moderado

Nivel de riesgo: 4 (medio)
Cláusula básica CVSS: 7.3
Puntuación provisional CVSS: 6,6
Ataque a distancia: Sí

El Sistema Común de Puntuación de Vulnerabilidad (CVSS) se utiliza para evaluar la vulnerabilidad de los sistemas informáticos. El estándar CVSS permite comparar vulnerabilidades de seguridad reales o potenciales en función de varias métricas para crear una lista de prioridades para tomar medidas. Los atributos "ninguno", "bajo", "moderado", "alto" y "crítico" se utilizan para definir los niveles de gravedad de la vulnerabilidad. Baseline mide los requisitos de un ataque (incluida la precisión, la complejidad, los privilegios y la interacción del usuario) y sus consecuencias. La dimensión temporal también tiene en cuenta los cambios en la situación de riesgo a lo largo del tiempo. Según CVSS, la gravedad de la vulnerabilidad actual se califica como "moderada" con una puntuación base de 7,3.

Error de DrayTek Vigor: Vigor permite la ejecución de código

DrayTek Vigor es una serie de dispositivos de red fabricados por la empresa DrayTek

Un atacante remoto y desconocido podría aprovechar una vulnerabilidad en DrayTek Vigor para ejecutar código arbitrario.

La vulnerabilidad se comercializa con el número de identificación único de vulnerabilidades y mejoras comunes (CVE) CVE-2024-12987.

Oferta de productos de válvulas de seguridad

Productos
DrayTek Vigor 2960 <1.5.1.5 (cpe:/h:draytek:vigor)
DrayTek Vigor 2960 1.5.1.5 (cpe:/h:draytek:vigor)
DrayTek Vigor 300B <1.5.1.5 (cpe:/h:draytek:vigor)
DrayTek Vigor 300B 1.5.1.5 (cpe:/h:draytek:vigor)

Medidas generales para hacer frente a las vulnerabilidades de TI

Los usuarios de los sistemas afectados deben actualizarlos. Cuando se conocen agujeros de seguridad, los fabricantes deben solucionarlos lo más rápido posible mediante el desarrollo de un parche o solución. Si hay imperdibles, instálelos inmediatamente.
Para obtener información, consulte los recursos enumerados en la siguiente sección. Generalmente incluyen más información sobre la última versión del software en cuestión, así como la disponibilidad de parches de seguridad o consejos para la solución de problemas.
Si tiene más preguntas o inquietudes, comuníquese con su administrador responsable. Los administradores de seguridad de TI deben verificar periódicamente los recursos enumerados para ver si hay una nueva actualización de seguridad disponible.

Información del fabricante sobre actualizaciones, parches y soluciones

Aquí encontrará enlaces adicionales con información sobre informes de errores, correcciones de seguridad y soluciones.

PoC del 29/12/2024 (29 de diciembre de 2024)
Puede encontrar más información aquí:

Base de datos de asesoramiento de GitHub a partir del 29 de diciembre de 2024 (29 de diciembre de 2024)
Puede encontrar más información aquí:

La fecha de revisión de este aviso de seguridad.

Esta es la versión inicial de este aviso de seguridad de TI para DrayTek Vigor. Si se anuncian actualizaciones, esta publicación se actualizará. Puede leer sobre los cambios o adiciones en el historial de esta versión.

29 de diciembre de 2024 - Versión inicial

Más noticias

Desarrollo de software de sitios web: ¡Nueva vulnerabilidad de seguridad! Windows se ve afectado

Palabras de Furtinet: ¡Nueva brecha de seguridad! La debilidad permite el código de ejecución

Seguridad informática: Android está en riesgo: nuevo agujero de seguridad en Samsung Android

Seguridad TI: Linux y Windows en riesgo - Actualización de información de seguridad TI para IBM DB2 (Riesgo: medio)

Kernel de Linux: Vulnerabilidad permite divulgación de información

Felicitaciones navideñas online: Pensamientos navideños gratuitos para WhatsApp y compañía.

Apache Tomcat: ¡Vulnerabilidad de seguridad informática con un gran riesgo! La alerta está recibiendo actualizaciones.

Seguridad informática: Android en riesgo: nuevo agujero de seguridad en Google Android

Seguridad de TI: Linux en riesgo: detalles sobre la nueva vulnerabilidad de seguridad de TI en Acronis CyberProtect Cloud Agent

Ataque cibernético descarado: Cuentas de cuentas de Bonus Points REWE

expatriado: La vulnerabilidad permite la denegación de servicio

bluez: ¡un agujero de seguridad TI de alto riesgo! La alerta está recibiendo actualizaciones.

Seguridad TI: Linux en riesgo - nueva vulnerabilidad de seguridad en Nagios Enterprises Nagios XI

Keycloak: una nota sobre la nueva brecha de seguridad

Es seguro: Linux y UNIX amenazando la información de seguridad para Perl (riesgo: medio)

OpenSC está en riesgo: ¡alerta de seguridad! Se han informado muchas vulnerabilidades de TI