Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04718

Опубликовано: 18 апр. 2019
Источник: fstec
CVSS3: 6.1
CVSS2: 4.3
EPSS Средний

Описание

Уязвимость микропрограммного обеспечения межсетевых экранов Zyxel ATP200, ATP500, ATP800, USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200-VPN, ZyWALL 110, ZyWALL 310, ZyWALL 1100 связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить межсайтовую сценарную атаку с помощью параметра 'mp_idx'

Вендор

Zyxel Communications Corp.

Наименование ПО

ATP200
ATP500
ATP800
USG20-VPN
USG20W-VPN
USG40
USG40W
USG60
USG60W
USG110
USG210
USG310
USG1100
USG2200-VPN
ZyWALL 110
ZyWALL 310
ZyWALL 1100
VPN50
VPN100
VPN300

Версия ПО

4.31 (ATP200)
4.31 (ATP500)
4.31 (ATP800)
4.31 (USG20-VPN)
4.31 (USG20W-VPN)
4.31 (USG40)
4.31 (USG40W)
4.31 (USG60)
4.31 (USG60W)
4.31 (USG110)
4.31 (USG210)
4.31 (USG310)
4.31 (USG1100)
4.31 (USG2200-VPN)
4.31 (ZyWALL 110)
4.31 (ZyWALL 310)
4.31 (ZyWALL 1100)
- (VPN50)
- (VPN100)
- (VPN300)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое средство
Микропрограммный код

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.securitymetrics.com/blog/Zyxel-Devices-Vulnerable-Cross-Site-Scripting-Login-page

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.17728
Средний

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2019-9955

CVSS3: 6.1
nvd
почти 7 лет назад

On Zyxel ATP200, ATP500, ATP800, USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200-VPN, ZyWALL 110, ZyWALL 310, ZyWALL 1100 devices, the security firewall login page is vulnerable to Reflected XSS via the unsanitized 'mp_idx' parameter.

github логотип

GHSA-9r2m-gm27-q4jp

CVSS3: 6.1
github
больше 3 лет назад

On Zyxel ATP200, ATP500, ATP800, USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200-VPN, ZyWALL 110, ZyWALL 310, ZyWALL 1100 devices, the security firewall login page is vulnerable to Reflected XSS via the unsanitized 'mp_idx' parameter.

EPSS

Процентиль: 95%
0.17728
Средний

6.1 Medium

CVSS3

4.3 Medium

CVSS2