PT-2024-6139 · Zyxel · Wax655E+4
Chengchao Ai
·
Publicado
2024-09-02
·
Atualizado
2024-09-14
·
CVE-2024-7261
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Zyxel NWA1123ACv3 versões 6.70(ABVT.4) e anteriores
Zyxel WAC500 versões 6.70(ABVS.4) e anteriores
Zyxel WAX655E versões 7.00(ACDO.1) e anteriores
Zyxel WBE530 versões 7.00(ACLE.1) e anteriores
Zyxel USG LITE 60AX versão V2.00(ACIP.2)
Descrição
A vulnerabilidade existe devido à neutralização inadequada de elementos especiais no parâmetro
host no programa CGI, permitindo que um invasor não autenticado execute comandos do sistema operacional enviando um cookie malicioso para um dispositivo vulnerável. Essa falha pode ser explorada remotamente e pode permitir que invasores executem comandos arbitrários no sistema operacional do host.Recomendações
Para as versões 6.70(ABVT.4) e anteriores do Zyxel NWA1123ACv3, atualize para a versão mais recente do firmware.
Para as versões 6.70(ABVS.4) e anteriores do Zyxel WAC500, atualize para a versão mais recente do firmware.
Para as versões 7.00(ACDO.1) e anteriores do Zyxel WAX655E, atualize para a versão mais recente do firmware.
Para as versões 7.00(ACLE.1) e anteriores do Zyxel WBE530, atualize para a versão mais recente do firmware.
Para a versão V2.00(ACIP.2) do Zyxel USG LITE 60AX, atualize para a versão mais recente do firmware.
Como solução temporária, considere restringir o acesso ao programa CGI vulnerável até que um patch esteja disponível.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nwa1123Acv3
Usg Lite 60Ax
Wac500
Wax655E
Wbe530