关联漏洞
标题:DrayTek Vigor300B和DrayTek Vigor2960 安全漏洞 (CVE-2024-12987)Description:DrayTek Vigor300B和DrayTek Vigor2960都是中国居易科技(DrayTek)公司的产品。Vigor300B是一款负载均衡路由器。DrayTek Vigor2960是一款路由器。 DrayTek Vigor300B和DrayTek Vigor2960 1.5.1.4版本存在安全漏洞,该漏洞源于组件Web管理界面文件/cgi-bin/mainfunction.cgi/apmcfgupload的session参数会导致os命令注入。
Description
DrayTek Gateway devices (Vigor2960, Vigor300B, etc.) are vulnerable to command injection via the session parameter in the /cgi-bin/mainfunction.cgi/apmcfgupload endpoint. An attacker can inject arbitrary commands and retrieve their output.
文件快照
id: CVE-2024-12987
info:
name: DrayTek Vigor - Command Injection
author: ritikchaddha
severit
...
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。