PT-2024-6119 · Zyxel · Zyxel Atp Series+1
Alessandro Sgreccia
+1
·
Publicado
2024-06-26
·
Atualizado
2024-12-13
·
CVE-2024-7203
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões de firmware da série Zyxel ATP, da V4.60 à V5.38
Versões de firmware da série Zyxel USG FLEX, da V4.60 à V5.38
Descrição
Existe uma vulnerabilidade de injeção de comando pós-autenticação no firmware dos dispositivos das séries Zyxel ATP e USG FLEX. Isso poderia permitir que um invasor autenticado com privilégios de administrador executasse determinados comandos do sistema operacional em um dispositivo afetado, por meio da execução de um comando CLI malicioso. A vulnerabilidade surge devido à falha em neutralizar elementos especiais utilizados no comando do sistema operacional.
Recomendações
Para as versões de firmware da série Zyxel ATP de V4.60 a V5.38, atualize para uma versão que contenha uma correção para este problema.
Para as versões de firmware da série Zyxel USG FLEX de V4.60 a V5.38, atualize para uma versão que contenha uma correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao comando CLI para minimizar o risco de exploração.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zyxel Atp Series
Zyxel Usg Flex Series