CVE-2024-9197

Versões do firmware do Zyxel VMG3625-T50B até a V5.50(ABPM.9.2)C0

Uma vulnerabilidade de estouro de buffer pós-autenticação no parâmetro action do programa CGI poderia permitir que um invasor autenticado com privilégios de administrador causasse uma condição temporária de negação de serviço (DoS) contra a interface de gerenciamento web, enviando uma solicitação HTTP GET maliciosa a um dispositivo vulnerável, caso a função ZyEE esteja habilitada.

Para as versões de firmware do Zyxel VMG3625-T50B até a V5.50(ABPM.9.2)C0, como solução temporária, considere desativar a função ZyEE até que um patch esteja disponível. Restrinja o acesso ao programa CGI para minimizar o risco de exploração. Evite usar o parâmetro action no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.