Eine Cross-Site-Scripting-Schwachstelle im Hotspot-Webportal und auf der Anmeldeseite der Benutzerverwaltung von Draytek-Routern (CVE-2023-23313) wurde entdeckt.
Es ist für einen authentifizierten Angreifer möglich, beliebigen JavaScript-Code in den Browser des Benutzers zu injizieren und zu speichern, indem er das verwundbare CGI-Skript verwendet.
Bezüglich der aktuell in der Presse kursierenden Meldung der Schwachstelle in der Ausführung von nicht autorisiertem Remotecode (CVE-2022-32548). Im April 2022 wurden wir auf eine mögliche Sicherheitslücke aufmerksam, die sich auf einige unserer Produkte auswirkt, die bei Tests identifiziert und uns gemeldet wurde.
