PT-2024-6023 · Zyxel · Zyxel Usg Flex Series+3
Nella17
·
Publicado
2024-09-02
·
Atualizado
2024-12-13
·
CVE-2024-42060
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Série Zyxel ATP, versões V4.32 a V5.38
Série Zyxel USG FLEX, versões V4.50 a V5.38
Série Zyxel USG FLEX 50(W), versões V4.16 a V5.38
Versões da série Zyxel USG20(W)-VPN de V4.16 a V5.38
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de comando pós-autenticação. Ela poderia permitir que um invasor autenticado com privilégios de administrador executasse alguns comandos do sistema operacional em um dispositivo afetado, enviando um arquivo de acordo de usuário interno malicioso para o dispositivo vulnerável.
Recomendações
Para as versões V4.32 a V5.38 da série Zyxel ATP, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões V4.50 a V5.38 da série Zyxel USG FLEX, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões V4.16 a V5.38 da série Zyxel USG FLEX 50(W), atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões V4.16 a V5.38 da série Zyxel USG20(W)-VPN, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso ao recurso de upload de arquivos de acordo de usuário interno até que um patch esteja disponível.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zyxel Atp Series
Zyxel Usg Flex 50(W) Series
Zyxel Usg Flex Series
Zyxel Usg20(W)-Vpn Series