{ "document" : { "aggregate_severity" : { "text" : "kritisch" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "DrayTek Vigor ist eine Serie von Netzwerkgeräten, die von der Firma DrayTek hergestellt wird", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter anonymer oder authentifizierter Angreifer kann mehrere Schwachstellen in DrayTek Vigor ausnutzen, um beliebigen Code auszuführen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Sonstiges", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2024-3314 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-3314.json" }, { "category" : "self", "summary" : "WID-SEC-2024-3314 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-3314" }, { "category" : "external", "summary" : "GitHub Advisory Database vom 2024-10-30", "url" : "https://github.com/advisories/GHSA-64xw-25gj-x6w6" }, { "category" : "external", "summary" : "GitHub Advisory Database vom 2024-10-30", "url" : "https://github.com/advisories/GHSA-8xq2-3cqg-9xfj" }, { "category" : "external", "summary" : "GitHub Advisory Database vom 2024-10-30", "url" : "https://github.com/advisories/GHSA-fh9m-mpjc-38hg" }, { "category" : "external", "summary" : "GitHub Advisory Database vom 2024-10-30", "url" : "https://github.com/advisories/GHSA-fv52-m5w8-2242" }, { "category" : "external", "summary" : "GitHub Advisory Database vom 2024-10-30", "url" : "https://github.com/advisories/GHSA-v76h-6p79-mvh2" }, { "category" : "external", "summary" : "PoC auf Github vom 2024-10-30", "url" : "https://github.com/fu37kola/cve/blob/main/DrayTek/Vigor3900/1.5.1.3/DrayTek_Vigor_3900_1.5.1.3.pdf" }, { "category" : "external", "summary" : "GitHub Advisory Database vom 2024-10-30", "url" : "https://github.com/advisories/GHSA-jwgw-4h9p-rxx6" }, { "category" : "external", "summary" : "GitHub Advisory Database vom 2024-10-30", "url" : "https://github.com/advisories/GHSA-qq59-g9rc-v6vx" } ], "source_lang" : "en-US", "title" : "DrayTek Vigor: Mehrere Schwachstellen ermöglichen Codeausführung", "tracking" : { "current_release_date" : "2024-11-05T23:00:00.000+00:00", "generator" : { "date" : "2024-11-06T11:05:13.376+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.8" } }, "id" : "WID-SEC-W-2024-3314", "initial_release_date" : "2024-10-30T23:00:00.000+00:00", "revision_history" : [ { "date" : "2024-10-30T23:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" }, { "date" : "2024-10-31T23:00:00.000+00:00", "number" : "2", "summary" : "CVE's ergänzt" }, { "date" : "2024-11-03T23:00:00.000+00:00", "number" : "3", "summary" : "CVE's ergänzt" }, { "date" : "2024-11-04T23:00:00.000+00:00", "number" : "4", "summary" : "CVE ergänzt" }, { "date" : "2024-11-05T23:00:00.000+00:00", "number" : "5", "summary" : "CVE's ergänzt" } ], "status" : "final", "version" : "5" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_version", "name" : "3900 1.5.1.3", "product" : { "name" : "DrayTek Vigor 3900 1.5.1.3", "product_id" : "T038703", "product_identification_helper" : { "cpe" : "cpe:/h:draytek:vigor:3900_1.5.1.3" } } } ], "category" : "product_name", "name" : "Vigor" } ], "category" : "vendor", "name" : "DrayTek" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2024-45882", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-45882" }, { "cve" : "CVE-2024-45884", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-45884" }, { "cve" : "CVE-2024-45885", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-45885" }, { "cve" : "CVE-2024-45889", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-45889" }, { "cve" : "CVE-2024-45891", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-45891" }, { "cve" : "CVE-2024-51244", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51244" }, { "cve" : "CVE-2024-51245", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51245" }, { "cve" : "CVE-2024-51247", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51247" }, { "cve" : "CVE-2024-51248", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51248" }, { "cve" : "CVE-2024-51249", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51249" }, { "cve" : "CVE-2024-51252", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51252" }, { "cve" : "CVE-2024-51254", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51254" }, { "cve" : "CVE-2024-51255", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51255" }, { "cve" : "CVE-2024-51257", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51257" }, { "cve" : "CVE-2024-51258", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51258" }, { "cve" : "CVE-2024-51259", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51259" }, { "cve" : "CVE-2024-51260", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51260" }, { "cve" : "CVE-2024-51298", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51298" }, { "cve" : "CVE-2024-51301", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51301" }, { "cve" : "CVE-2024-51304", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen im DrayTek Vigor3900. Diese Fehler existieren wegen verschiedener Probleme bei der Befehlsinjektion. Durch den Aufruf bestimmter Funktionen kann ein entfernter, anonymer oder authentifizierter Angreifer diese Schwachstellen ausnutzen, um beliebigen Code auszuführen. Zur Ausnutzung einiger diese Schwachstellen ist eine Anmeldung erforderlich." } ], "product_status" : { "known_affected" : [ "T038703" ] }, "release_date" : "2024-10-30T23:00:00.000+00:00", "title" : "CVE-2024-51304" } ] }