PT-2020-15703 · Zyxel · Zyxel Vmg5313-B30B
Publicado
2020-09-02
·
Atualizado
2020-09-11
·
CVE-2020-24355
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Roteador Zyxel VMG5313-B30B, versões 5.13(ABCJ.6)b3 1127 e possivelmente anteriores
Descrição
O problema diz respeito a permissões inseguras que permitem que usuários regulares e outros usuários criem novos usuários com privilégios elevados. Isso é feito modificando o campo
FirstIndex nos dados JSON enviados durante a criação da conta por meio de uma solicitação POST. Uma vulnerabilidade semelhante também pode existir para a exclusão de contas.Recomendações
Para a versão 5.13(ABCJ.6)b3 1127 e possivelmente versões anteriores, considere restringir o acesso ao recurso de criação de conta até que uma correção esteja disponível e evite usar o campo
FirstIndex nos dados JSON para a criação de contas. Como solução alternativa temporária, restrinja os privilégios do usuário para impedir a exploração.Exploit
Correção
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zyxel Vmg5313-B30B