PT-2022-3379 · Zyxel · Zyxel Usg Flex Series+3
Publicado
2022-02-23
·
Atualizado
2022-06-06
·
CVE-2022-0734
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões de firmware da série ZyXEL USG/ZyWALL de 4.35 a 4.70
Versões de firmware da série ZyXEL USG FLEX de 4.50 a 5.20
Versões de firmware da série ZyXEL ATP de 4.35 a 5.20
Versões de firmware da série ZyXEL VPN de 4.35 a 5.20
Descrição
Uma vulnerabilidade de cross-site scripting no programa CGI do software de dispositivos de rede da ZyXEL está relacionada à falta de proteção da estrutura da página web. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas ao executar um script especialmente criado, potencialmente acessando informações armazenadas no navegador do usuário, como cookies ou tokens de sessão.
Recomendações
Para as versões de firmware da série ZyXEL USG/ZyWALL de 4.35 a 4.70, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões de firmware da série ZyXEL USG FLEX de 4.50 a 5.20, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões de firmware da série ZyXEL ATP de 4.35 a 5.20, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões de firmware da série ZyXEL VPN de 4.35 a 5.20, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução temporária, considere restringir o acesso ao programa CGI até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zyxel Atp Series
Zyxel Usg Flex Series
Zyxel Usg/Zywall Series
Zyxel Vpn Series