CVE-2023-27991


2023. május 4. 10:50

Zyxel ZyWALL/USG, VPN, USG FLEX és ATP firmware-ek sérülékenysége
Angol cím: Zyxel ZyWALL/USG, VPN, USG FLEX és ATP firmwares vulnerability

Publikálás dátuma: 2023.04.24.
Utolsó módosítás dátuma: 2023.05.03.

Leírás

Operációs rendszer parancs injektálás: A program nem, vagy helytelenül semlegesíti azokat az elemeket a bemenetből, melyek módosíthatják a tervezett operációs rendszer parancsot, amikor azt a következő komponensnek küldi.

Leírás forrása: CWE-78

Elemzés leírás

Eredeti nyelven: The post-authentication command injection vulnerability in the CLI command of Zyxel ATP series firmware versions 4.32 through 5.35, USG FLEX series firmware versions 4.50 through 5.35, USG FLEX 50(W) firmware versions 4.16 through 5.35, USG20(W)-VPN firmware versions 4.16 through 5.35, and VPN series firmware versions 4.30 through 5.35, which could allow an authenticated attacker to execute some OS commands remotely.

Elemzés leírás forrása: CVE-2023-27991

Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 8.8 (Magas)
Vektor: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 2.8

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Alacsony
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

www.zyxel.com

Sérülékeny szoftverek

Zyxel ATP200 FIRMWARE 4.32-tól 5.36 előttig
Zyxel Atp200 nem érintett
Zyxel ATP100 FIRMWARE 4.32-tól 5.36 előttig
ZyXEL ATP100 nem érintett
Zyxel ATP700 FIRMWARE 4.32-tól 5.36 előttig
Zyxel ATP700 nem érintett
Zyxel ATP500 FIRMWARE 4.32-tól 5.36 előttig
Zyxel Atp500 nem érintett
Zyxel ATP100W FIRMWARE 4.32-tól 5.36 előttig
Zyxel ATP100W nem érintett
Zyxel ATP800 FIRMWARE 4.32-tól 5.36 előttig
Zyxel Atp800 nem érintett
Zyxel USG FLEX 100 FIRMWARE 4.50-tól 5.36 előttig
Zyxel USG FLEX 100 nem érintett
zyxel / usg flex 50 firmware 4.50-tól 5.36 előttig
Zyxel USG Flex 50 nem érintett
Zyxel USG FLEX 200 FIRMWARE 4.50-tól 5.36 előttig
Zyxel USG FLEX 200 nem érintett
Zyxel USG FLEX 500 FIRMWARE 4.50-tól 5.36 előttig
Zyxel USG FLEX 500 nem érintett
Zyxel USG FLEX 700 FIRMWARE 4.50-tól 5.36 előttig
Zyxel USG FLEX 700 nem érintett
Zyxel USG FLEX 100W Firmware 4.50-tól 5.36 előttig
Zyxel USG FLEX 100W nem érintett
zyxel / usg 20w-vpn firmware 4.16-tól 5.36 előttig
Zyxel USG 20W-VPN nem érintett
Zyxel USG FLEX 50W Firmware 4.16-tól 5.36 előttig
Zyxel USG FLEX 50W nem érintett
Zyxel Usg20-vpn Firmware 4.30-tól 5.36 előttig
Zyxel Usg20-vpn nem érintett
Zyxel VPN100 FIRMWARE 4.30-tól 5.36 előttig
Zyxel Vpn100 nem érintett
Zyxel VPN1000 FIRMWARE 4.30-tól 5.36 előttig
Zyxel VPN1000 nem érintett
Zyxel VPN300 FIRMWARE 4.30-tól 5.36 előttig
Zyxel Vpn300 nem érintett
Zyxel VPN50 FIRMWARE 4.30-tól 5.36 előttig
Zyxel Vpn50 nem érintett

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »