CVE-2024-9200

Nome do software vulnerável e versões afetadas:

Versões do firmware do Zyxel VMG4005-B50A até a V5.15(ABQA.2.2)C0

Descrição:

O problema está relacionado a uma vulnerabilidade de injeção de comando pós-autenticação no parâmetro host da função de diagnóstico. Essa vulnerabilidade pode permitir que um invasor autenticado com privilégios de administrador execute comandos do sistema operacional em um dispositivo vulnerável. A vulnerabilidade se deve à falta de medidas para neutralizar elementos especiais usados no comando do sistema operacional.

Recomendações:

Para as versões de firmware do Zyxel VMG4005-B50A até a V5.15(ABQA.2.2)C0, considere desativar temporariamente a função de diagnóstico até que um patch esteja disponível. Restrinja o acesso ao parâmetro host na função de diagnóstico para minimizar o risco de exploração. Evite usar o parâmetro host na função de diagnóstico afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.