CVE-2023-23313 - Cross-Site-Scripting Schwachstelle
06.03.2023 11:21
Eine Cross-Site-Scripting-Schwachstelle im Hotspot-Webportal und auf der Anmeldeseite der Benutzerverwaltung von Draytek-Routern (CVE-2023-23313) wurde entdeckt.
Es ist für einen authentifizierten Angreifer möglich, beliebigen JavaScript-Code in den Browser des Benutzers zu injizieren und zu speichern, indem er das verwundbare CGI-Skript verwendet. Da der eingeschleuste Code dauerhaft gespeichert wird, löst jeder Benutzer, der die Webanwendung besucht, die gespeicherte Schadsoftware aus.
Wir werden für folgende Modelle neue Firmwares mit Sicherheitsupdates für die Cross-Site Scripting Schwachstelle veröffentlichen.
| Betroffenes Modell | Fixed Firmware-Version |
|---|---|
| Vigor3910 | 4.3.2.2 |
| Vigor3220 | 3.9.7.4 |
| Vigor2962-Serie | 4.3.2.2 |
| Vigor2952 / 2952P | 3.9.7.4 |
| Vigor2927-Serie | 4.4.2.3 |
| Vigor2926-Serie | 3.9.9.1 |
| Vigor2925-Serie | 3.9.4 |
| Vigor2866-Serie | 4.4.1.1 |
| Vigor2865-Serie | 4.4.1.1 |
| Vigor2862-Serie | 3.9.9.1 |
| Vigor2860-Serie | 3.9.4 |
| Vigor2832 | 3.9.6.3 |
| Vigor2766-Serie | 4.4.2.1 |
| Vigor2765-Serie | 4.4.2.1 |
| Vigor2762-Serie | 3.9.6.5 |
| Vigor2620 LTE-Serie | 3.9.8.1 |
| Vigor2135-Serie | 4.4.2.1 |
| Vigor2133-Serie | 3.9.6.5 |
| Vigor166 | 4.2.4.1 |
| Vigor165 | 4.2.4.1 |
| Vigor130 | 3.8.5.1 |
| VigorNIC 132 | 3.8.5.1 |
Die Firmware können Sie von nachfolgendem Link herunterladen:
