PT-2022-6318 · Zyxel · Zywall/Usg+3
Atdog
·
Publicado
2022-08-22
·
Atualizado
2023-02-14
·
CVE-2022-38547
CVSS v2.0
8.3
Alta
| Vetor | AV:N/AC:L/Au:M/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões de firmware da série Zyxel ZyWALL/USG de 4.20 a 4.72
Versões de firmware da série Zyxel VPN de 4.30 a 5.32
Versões de firmware da série Zyxel USG FLEX de 4.50 a 5.32
Versões de firmware da série Zyxel ATP 4.32 a 5.32
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de comando no comando CLI do firmware da Zyxel, que poderia permitir que um invasor autenticado com privilégios de administrador executasse comandos do sistema operacional. Isso se deve à falta de sanitização adequada de elementos especiais usados no comando do sistema operacional. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute comandos arbitrários.
Recomendações
Para as versões de firmware da série Zyxel ZyWALL/USG 4.20 a 4.72, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões de firmware da série Zyxel VPN 4.30 a 5.32, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões de firmware da série Zyxel USG FLEX de 4.50 a 5.32, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões de firmware da série Zyxel ATP de 4.32 a 5.32, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso ao comando CLI para minimizar o risco de exploração.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Atp
Usg Flex
Vpn
Zywall/Usg