BDU:2022-04431

Опубликовано: 24 мая 2022

Источник: fstec

CVSS3: 7.8

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость реализации интерфейса командной строки (CLI) микропрограммного обеспечения сетевых устройств Zyxel связана с непринятием мер по нейтрализации специальных элементов используемых в команде ОС. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды

Вендор

Zyxel Communications Corp.

Наименование ПО

NXC2500

NXC5500

NAP203

NAP303

NAP353

NSG

USG

ZyWALL

USG FLEX

ATP

VPN

ZYXEL NWA50AX

ZYXEL NWA55AXE

ZYXEL NWA90AX

ZYXEL NWA110AX

ZYXEL NWA210AX

NWA1123-AC HD

NWA1123-AC PRO

ZYXEL NWA1123ACv3

NWA1302-AC

NWA5123-AC HD

ZYXEL WAC500H

ZYXEL WAC500

WAC5302D-S

ZYXEL WAC5302D-Sv2

WAC6103D-I

WAC6303D-S

WAC6502D-E

WAC6502D-S

WAC6503D-S

WAC6553D-E

WAC6552D-S

ZYXEL WAX510D

ZYXEL WAX610D

ZYXEL WAX630S

ZYXEL WAX650S

Версия ПО

до 6.10(AAIG.3) включительно (NXC2500)

до 6.10(AAOS.3) включительно (NXC5500)

до 6.25(ABFA.8) (NAP203)

до 6.25(ABEX.8) (NAP303)

до 6.25(ABEY.8) (NAP353)

до 1.33 Patch 5 (NSG)

до ZLD 4.72 (USG)

до ZLD 4.72 (ZyWALL)

до ZLD 5.30 (USG FLEX)

до ZLD 5.30 (ATP)

до ZLD 5.30 (VPN)

до 6.25(ABYW.8) (ZYXEL NWA50AX)

до 6.25(ABZL.8) (ZYXEL NWA55AXE)

до 6.27(ACCV.3) (ZYXEL NWA90AX)

до 6.30(ABTG.3) (ZYXEL NWA110AX)

до 6.30(ABTD.3) (ZYXEL NWA210AX)

до 6.25(ABIN.8) (NWA1123-AC HD)

до 6.25(ABHD.8) (NWA1123-AC PRO)

до 6.30(ABVT.3) (ZYXEL NWA1123ACv3)

до 6.25(ABKU.8) (NWA1302-AC)

до 6.25(ABIM.8) (NWA5123-AC HD)

до 6.30(ABWA.3) (ZYXEL WAC500H)

до 6.30(ABVS.3) (ZYXEL WAC500)

до 6.10(ABFH.10) включительно (WAC5302D-S)

до 6.25(ABVZ.8) (ZYXEL WAC5302D-Sv2)

до 6.25(AAXH.8) (WAC6103D-I)

до 6.25(ABGL.8) (WAC6303D-S)

до 6.25(AASD.8) (WAC6502D-E)

до 6.25(AASE.8) (WAC6502D-S)

до 6.25(AASF.8) (WAC6503D-S)

до 6.25(AASG.8) (WAC6553D-E)

до 6.25(ABIO.8) (WAC6552D-S)

до 6.30(ABTF.3) (ZYXEL WAX510D)

до 6.30(ABTE.3) (ZYXEL WAX610D)

до 6.30(ABZD.3) (ZYXEL WAX630S)

до 6.30(ABRM.3) (ZYXEL WAX650S)

Тип ПО

Микропрограммный код

ПО сетевого программно-аппаратного средства

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.zyxel.com/support/multiple-vulnerabilities-of-firewalls-AP-controllers-and-APs.shtml

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-26532
CVE

EPSS

Процентиль: 82%

0.01652

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2022-26532

CVSS3: 7.8

nvd

больше 3 лет назад

A argument injection vulnerability in the 'packet-trace' CLI command of Zyxel USG/ZyWALL series firmware versions 4.09 through 4.71, USG FLEX series firmware versions 4.50 through 5.21, ATP series firmware versions 4.32 through 5.21, VPN series firmware versions 4.30 through 5.21, NSG series firmware versions 1.00 through 1.33 Patch 4, NXC2500 firmware version 6.10(AAIG.3) and earlier versions, NAP203 firmware version 6.25(ABFA.7) and earlier versions, NWA50AX firmware version 6.25(ABYW.5) and earlier versions, WAC500 firmware version 6.30(ABVS.2) and earlier versions, and WAX510D firmware version 6.30(ABTF.2) and earlier versions, that could allow a local authenticated attacker to execute arbitrary OS commands by including crafted arguments to the CLI command.

GHSA-gfh5-53xq-j227

CVSS3: 7.8

github

больше 3 лет назад

EPSS

Процентиль: 82%

0.01652

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2