Zyxel Hálózati adattárolók (NAS) sérülékenysége
Angol cím: Zyxel Network Attached Storage (NAS) vulnerability
Publikálás dátuma: 2023.06.19.
Utolsó módosítás dátuma: 2023.06.20.
Leírás
Operációs rendszer parancs injektálás: A program nem, vagy helytelenül semlegesíti azokat az elemeket a bemenetből, melyek módosíthatják a tervezett operációs rendszer parancsot, amikor azt a következő komponensnek küldi.
Leírás forrása: CWE-78Elemzés leírás
Eredeti nyelven: The pre-authentication command injection vulnerability in the Zyxel NAS326 firmware versions prior to V5.21(AAZF.14)C0, NAS540 firmware versions prior to V5.21(AATB.11)C0, and NAS542 firmware versions prior to V5.21(ABAG.11)C0 could allow an unauthenticated attacker to execute some operating system (OS) commands remotely by sending a crafted HTTP request.
Elemzés leírás forrása: CVE-2023-27992Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
Zyxel NAS326 V5.21(AAZF.14)C0 előtti verziók
Zyxel NAS540 V5.21(AATB.11)C0 előtti verziók
Zyxel NAS542 V5.21(ABAG.11)C0 előtti verziók