PT-2022-2061 · Zyxel · Zyxel Usg/Zywall Series+4
Publicado
2022-01-24
·
Atualizado
2022-07-27
·
CVE-2022-0342
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Série Zyxel USG/ZyWALL, versões 4.20 a 4.70
Série Zyxel USG FLEX, versões 4.50 a 5.20
Série Zyxel ATP, versões 4.32 a 5.20
Série Zyxel VPN, versões 4.30 a 5.20
Série Zyxel NSG, versões V1.20 a V1.33 Patch 4
Descrição
O problema está relacionado a uma vulnerabilidade de contorno de autenticação no programa CGI dos dispositivos Zyxel afetados, o que poderia permitir que um invasor contornasse a autenticação web e obtivesse acesso administrativo ao dispositivo. Essa vulnerabilidade está associada a deficiências no procedimento de autenticação. A exploração da vulnerabilidade pode permitir que um invasor remoto contorne o processo de autenticação e eleve seus privilégios.
Recomendações
Para as versões 4.20 a 4.70 da série Zyxel USG/ZyWALL, atualize para uma versão fora desse intervalo para resolver o problema.
Para as versões 4.50 a 5.20 da série Zyxel USG FLEX, atualize para uma versão fora desse intervalo para resolver o problema.
Para as versões 4.32 a 5.20 da série Zyxel ATP, atualize para uma versão fora desse intervalo para resolver o problema.
Para as versões 4.30 a 5.20 da série Zyxel VPN, atualize para uma versão fora desse intervalo para resolver o problema.
Para as versões V1.20 a V1.33 Patch 4 da série Zyxel NSG, atualize para uma versão fora desse intervalo para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao programa CGI até que um patch esteja disponível.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zyxel Atp Series
Zyxel Nsg Series
Zyxel Usg Flex Series
Zyxel Usg/Zywall Series
Zyxel Vpn Series