Zyxel termékek DoS és RCE sérülékenysége
Angol cím: Zyxel products DoS and RCE vulnerability
Publikálás dátuma: 2023.05.24.
Utolsó módosítás dátuma: 2023.05.24.
Leírás
Puffer másolása a bemenet méretének ellenőrzése nélkül (‘Klasszikus Puffer Túlcsordulás’): A termék egy bemeneti puffert másol át egy kimenetibe anélkül, hogy ellenőrizné, hogy a bementi puffer mérete kisebb-e mint a kimeneté, mely puffer túlcsorduláshoz vezethet.
Leírás forrása: CWE-120Elemzés leírás
Eredeti nyelven: A buffer overflow vulnerability in the notification function in Zyxel ATP series firmware versions 4.32 through 5.36 Patch 1, USG FLEX series firmware versions 4.50 through 5.36 Patch 1, USG FLEX 50(W) firmware versions 4.25 through 5.36 Patch 1, USG20(W)-VPN firmware versions 4.25 through 5.36 Patch 1, VPN series firmware versions 4.30 through 5.36 Patch 1, ZyWALL/USG series firmware versions 4.25 through 4.73 Patch 1, could allow an unauthenticated attacker to cause denial-of-service (DoS) conditions and even a remote code execution on an affected device.
Elemzés leírás forrása: CVE-2023-33009Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
Zyxel ATP series firmware versions 4.32 - 5.36 Patch 1
USG FLEX series firmware versions 4.50 - 5.36 Patch 1
USG FLEX 50(W) firmware versions 4.25 - 5.36 Patch 1
USG20(W)-VPN firmware versions 4.25 - 5.36 Patch 1
VPN series firmware versions 4.30 - 5.36 Patch 1
ZyWALL/USG series firmware versions 4.25 - 4.73 Patch 1