CVE-2024-41594

An issue in DrayTek Vigor310 devices through 4.3.2.6 allows an attacker to obtain sensitive information because the httpd server of the Vigor management UI uses a static string for seeding the PRNG of OpenSSL.
References
Link Resource
https://www.forescout.com/resources/draybreak-draytek-research/ Mitigation Technical Description Third Party Advisory
https://www.forescout.com/resources/draytek14-vulnerabilities Broken Link
Configurations

Configuration 1 (hide)

AND
cpe:2.3:o:draytek:vigor2620_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2620:-:*:*:*:*:*:*:*

Configuration 2 (hide)

AND
cpe:2.3:o:draytek:vigor2915_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2915:-:*:*:*:*:*:*:*

Configuration 3 (hide)

AND
cpe:2.3:o:draytek:vigor2866_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2866:-:*:*:*:*:*:*:*

Configuration 4 (hide)

AND
cpe:2.3:o:draytek:vigor2766_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2766:-:*:*:*:*:*:*:*

Configuration 5 (hide)

AND
cpe:2.3:o:draytek:vigor2865_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2865:-:*:*:*:*:*:*:*

Configuration 6 (hide)

AND
cpe:2.3:o:draytek:vigor2765_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2765:-:*:*:*:*:*:*:*

Configuration 7 (hide)

AND
cpe:2.3:o:draytek:vigor2763_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2763:-:*:*:*:*:*:*:*

Configuration 8 (hide)

AND
cpe:2.3:o:draytek:vigor2135_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2135:-:*:*:*:*:*:*:*

Configuration 9 (hide)

AND
cpe:2.3:o:draytek:vigor166_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor166:-:*:*:*:*:*:*:*

Configuration 10 (hide)

AND
OR cpe:2.3:o:draytek:vigor1000b_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor1000b_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor1000b:-:*:*:*:*:*:*:*

Configuration 11 (hide)

AND
cpe:2.3:o:draytek:vigor165_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor165:-:*:*:*:*:*:*:*

Configuration 12 (hide)

AND
OR cpe:2.3:o:draytek:vigor3910_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor3910_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor3910:-:*:*:*:*:*:*:*

Configuration 13 (hide)

AND
OR cpe:2.3:o:draytek:vigor2962_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2962_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2962:-:*:*:*:*:*:*:*

Configuration 14 (hide)

AND
cpe:2.3:o:draytek:vigor3912_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor3912:-:*:*:*:*:*:*:*

Configuration 15 (hide)

AND
cpe:2.3:o:draytek:vigorlte200_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigorlte200:-:*:*:*:*:*:*:*

Configuration 16 (hide)

AND
cpe:2.3:o:draytek:vigor2133_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2133:-:*:*:*:*:*:*:*

Configuration 17 (hide)

AND
cpe:2.3:o:draytek:vigor2762_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2762:-:*:*:*:*:*:*:*

Configuration 18 (hide)

AND
cpe:2.3:o:draytek:vigor2832_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2832:-:*:*:*:*:*:*:*

Configuration 19 (hide)

AND
cpe:2.3:o:draytek:vigor2860_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2860:-:*:*:*:*:*:*:*

Configuration 20 (hide)

AND
cpe:2.3:o:draytek:vigor2862_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2862:-:*:*:*:*:*:*:*

Configuration 21 (hide)

AND
cpe:2.3:o:draytek:vigor2925_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2925:-:*:*:*:*:*:*:*

Configuration 22 (hide)

AND
cpe:2.3:o:draytek:vigor2926_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2926:-:*:*:*:*:*:*:*

Configuration 23 (hide)

AND
cpe:2.3:o:draytek:vigor2952_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2952:-:*:*:*:*:*:*:*

Configuration 24 (hide)

AND
cpe:2.3:o:draytek:vigor3220_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor3220:-:*:*:*:*:*:*:*

History

08 Oct 2024, 15:31

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 7.5
First Time Draytek vigor3220
Draytek vigor2952 Firmware
Draytek vigor2866
Draytek vigor166 Firmware
Draytek vigor1000b
Draytek vigor2763 Firmware
Draytek vigorlte200
Draytek vigor2915
Draytek vigor2860 Firmware
Draytek vigor2962 Firmware
Draytek vigor2860
Draytek vigor2926 Firmware
Draytek vigor2766 Firmware
Draytek vigorlte200 Firmware
Draytek vigor3910 Firmware
Draytek vigor3912
Draytek vigor2865
Draytek vigor2765 Firmware
Draytek vigor2135
Draytek vigor2862
Draytek vigor2962
Draytek vigor1000b Firmware
Draytek vigor2765
Draytek vigor166
Draytek vigor2832
Draytek vigor2925
Draytek vigor2135 Firmware
Draytek vigor2926
Draytek vigor2866 Firmware
Draytek vigor2832 Firmware
Draytek vigor2865 Firmware
Draytek vigor2763
Draytek vigor165 Firmware
Draytek vigor2766
Draytek vigor2620
Draytek vigor3220 Firmware
Draytek vigor165
Draytek vigor2925 Firmware
Draytek vigor2952
Draytek vigor2762
Draytek vigor2133
Draytek vigor3912 Firmware
Draytek vigor2915 Firmware
Draytek vigor2862 Firmware
Draytek
Draytek vigor2133 Firmware
Draytek vigor2762 Firmware
Draytek vigor2620 Firmware
Draytek vigor3910
References () https://www.forescout.com/resources/draybreak-draytek-research/ - () https://www.forescout.com/resources/draybreak-draytek-research/ - Mitigation, Technical Description, Third Party Advisory
References () https://www.forescout.com/resources/draytek14-vulnerabilities - () https://www.forescout.com/resources/draytek14-vulnerabilities - Broken Link
CPE cpe:2.3:h:draytek:vigor2962:-:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2763:-:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2135_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor3912_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigorlte200:-:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor165_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2762_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2620:-:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2133_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2915_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2925:-:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2832_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor1000b_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor3220:-:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2860:-:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2860_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor3910:-:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2865_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2865:-:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2766_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2962_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2762:-:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor3220_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor3910_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2926:-:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2866:-:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor1000b:-:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2862_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2952:-:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2765:-:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor165:-:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2862:-:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2766:-:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2926_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigorlte200_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor166:-:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2763_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor166_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2925_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2952_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2620_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2765_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2135:-:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor3912:-:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2133:-:*:*:*:*:*:*:*
cpe:2.3:o:draytek:vigor2866_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2915:-:*:*:*:*:*:*:*
cpe:2.3:h:draytek:vigor2832:-:*:*:*:*:*:*:*
CWE CWE-326

04 Oct 2024, 13:50

Type Values Removed Values Added
Summary
  • (es) Un problema en los dispositivos DrayTek Vigor310 hasta la versión 4.3.2.6 permite a un atacante obtener información confidencial porque el servidor httpd de la interfaz de administración de Vigor utiliza una cadena estática para inicializar el PRNG de OpenSSL.

03 Oct 2024, 19:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-10-03 19:15

Updated : 2024-10-08 15:31


NVD link : CVE-2024-41594

Mitre link : CVE-2024-41594

CVE.ORG link : CVE-2024-41594


JSON object : View

Products Affected

draytek

  • vigor2862
  • vigor2133_firmware
  • vigor2952
  • vigor2763_firmware
  • vigor2915_firmware
  • vigor2832
  • vigor165
  • vigor2133
  • vigor2135
  • vigor3910
  • vigor2925
  • vigor2620
  • vigor2915
  • vigorlte200_firmware
  • vigor2766
  • vigor2865_firmware
  • vigor2925_firmware
  • vigor3220
  • vigor2766_firmware
  • vigor2832_firmware
  • vigor2926_firmware
  • vigor2763
  • vigor165_firmware
  • vigor2865
  • vigor3912
  • vigor2620_firmware
  • vigor2135_firmware
  • vigor2765_firmware
  • vigor166_firmware
  • vigor2866
  • vigor2762
  • vigor2926
  • vigor2866_firmware
  • vigor2962
  • vigor2762_firmware
  • vigor166
  • vigor3910_firmware
  • vigor2860
  • vigor2860_firmware
  • vigor2952_firmware
  • vigor1000b
  • vigor3220_firmware
  • vigor2862_firmware
  • vigor2765
  • vigor1000b_firmware
  • vigorlte200
  • vigor3912_firmware
  • vigor2962_firmware
CWE
CWE-326

Inadequate Encryption Strength