Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05403

Опубликовано: 19 июл. 2022
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения сетевых устройств Zyxel USG FLEX 100(W), USG FLEX 200, USG FLEX 500, USG FLEX 700, USG FLEX 50(W), USG20(W)-VPN, ATP, VPN, USG/ZyWALL существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию

Вендор

Zyxel Communications Corp.

Наименование ПО

ATP
USG FLEX 50(W)
USG FLEX 200
USG FLEX 500
USG FLEX 700
USG FLEX 100W
USG 20(W)-VPN
VPN
ZyWALL

Версия ПО

от 4.32 до 5.21 (ATP)
от 4.16 до 5.31 (USG FLEX 50(W))
от 4.50 до 5.31 (USG FLEX 200)
от 4.50 до 5.31 (USG FLEX 500)
от 4.50 до 5.31 (USG FLEX 700)
до 5.31 (USG FLEX 100W)
от 4.20 до 5.31 (USG 20(W)-VPN)
от 4.20 до 5.31 (USG FLEX 50(W))
от 4.32 до V5.30 (VPN)
от 4.20 до 4.72 (ZyWALL)

Тип ПО

ПО сетевого программно-аппаратного средства
Микропрограммный код

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.zyxel.com/support/Zyxel-security-advisory-authenticated-directory-traversal-vulnerabilities-of-firewalls.shtml

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 79%
0.01262
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-2030

CVSS3: 6.5
nvd
больше 3 лет назад

A directory traversal vulnerability caused by specific character sequences within an improperly sanitized URL was identified in some CGI programs of Zyxel USG FLEX 100(W) firmware versions 4.50 through 5.30, USG FLEX 200 firmware versions 4.50 through 5.30, USG FLEX 500 firmware versions 4.50 through 5.30, USG FLEX 700 firmware versions 4.50 through 5.30, USG FLEX 50(W) firmware versions 4.16 through 5.30, USG20(W)-VPN firmware versions 4.16 through 5.30, ATP series firmware versions 4.32 through 5.30, VPN series firmware versions 4.30 through 5.30, USG/ZyWALL series firmware versions 4.11 through 4.72, that could allow an authenticated attacker to access some restricted files on a vulnerable device.

github логотип

GHSA-cq2h-7r44-f9vg

CVSS3: 6.5
github
больше 3 лет назад

A directory traversal vulnerability caused by specific character sequences within an improperly sanitized URL was identified in some CGI programs of Zyxel USG FLEX 100(W) firmware versions 4.50 through 5.30, USG FLEX 200 firmware versions 4.50 through 5.30, USG FLEX 500 firmware versions 4.50 through 5.30, USG FLEX 700 firmware versions 4.50 through 5.30, USG FLEX 50(W) firmware versions 4.16 through 5.30, USG20(W)-VPN firmware versions 4.16 through 5.30, ATP series firmware versions 4.32 through 5.30, VPN series firmware versions 4.30 through 5.30, USG/ZyWALL series firmware versions 4.11 through 4.72, that could allow an authenticated attacker to access some restricted files on a vulnerable device.

EPSS

Процентиль: 79%
0.01262
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2