PT-2024-6026 · Zyxel · Zyxel Usg Flex Series+3
Nella17
·
Publicado
2024-07-29
·
Atualizado
2024-12-13
·
CVE-2024-42059
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Série Zyxel ATP, versões V5.00 a V5.38
Série Zyxel USG FLEX, versões V5.00 a V5.38
Série Zyxel USG FLEX 50(W), versões V5.00 a V5.38
Versões da série Zyxel USG20(W)-VPN de V5.00 a V5.38
Descrição
Existe uma vulnerabilidade de injeção de comando pós-autenticação, relacionada à implementação do Protocolo de Transferência de Arquivos (FTP) no firmware dos dispositivos de rede Zyxel. Isso poderia permitir que um invasor autenticado com privilégios de administrador executasse comandos arbitrários do sistema operacional em um dispositivo afetado, enviando um arquivo de idioma compactado especialmente criado via FTP. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute comandos no dispositivo.
Recomendações
Para as versões V5.00 a V5.38 da série Zyxel ATP, atualize para uma versão que contenha uma correção para essa vulnerabilidade.
Para as versões V5.00 a V5.38 da série Zyxel USG FLEX, atualize para uma versão que contenha uma correção para essa vulnerabilidade.
Para as versões V5.00 a V5.38 da série Zyxel USG FLEX 50(W), atualize para uma versão que contenha uma correção para esta vulnerabilidade.
Para as versões V5.00 a V5.38 da série Zyxel USG20(W)-VPN, atualize para uma versão que contenha uma correção para esta vulnerabilidade.
Como solução alternativa temporária, considere restringir o acesso ao serviço FTP para minimizar o risco de exploração.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zyxel Atp Series
Zyxel Usg Flex 50(W) Series
Zyxel Usg Flex Series
Zyxel Usg20(W)-Vpn Series