Zyxel ATP IPSec VPN OS Command Injection sérülékenysége
Angol cím: Zyxel ATP IPSec VPN OS Command Injection vulnerability
Publikálás dátuma: 2024.09.02.
Utolsó módosítás dátuma: 2024.09.03.
Leírás
A program nem, vagy helytelenül semlegesíti azokat az elemeket a bemenetből, melyek módosíthatják a tervezett operációs rendszer parancsot, amikor azt a következő komponensnek küldi.
Leírás forrása: CWE-78 Leírás utolsó módosítása: 2024.07.16.Elemzés leírás
Eredeti nyelven:
A command injection vulnerability in the IPSec VPN feature of Zyxel ATP series firmware versions from V4.32 through V5.38, USG FLEX series firmware versions from V4.50 through V5.38, USG FLEX 50(W) series firmware versions from V4.16 through V5.38, and USG20(W)-VPN series firmware versions from V4.16 through V5.38 could allow an unauthenticated attacker to execute some OS commands on an affected device by sending a crafted username to the vulnerable device. Note that this attack could be successful only if the device was configured in User-Based-PSK authentication mode and a valid user with a long username exceeding 28 characters exists.
Elemzés leírás forrása: CVE-2024-42057 Elemzés leírás utolsó módosítása: 2024.09.03.Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 8.1 (Magas)
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 2.2
Attack Vector (AV): Network
Attack Complexity (AC): High
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
Zyxel
ATP V4.32-től V5.38 verzióig
USG FLEX V4.50-től V5.38 verzióig
USG FLEX 50(W) V4.16-től V5.38 verzióig
USG20(W)-VPN V4.16-től V5.38 verzióig