Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01024

Опубликовано: 11 янв. 2023
Источник: fstec
CVSS3: 5.4
CVSS2: 5.5
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения маршрутизаторов Zyxel 5G NR/4G LTE CPE существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольную команду при помощи специально сформированного HTTP-запроса

Вендор

Zyxel Communications Corp.

Наименование ПО

Zyxel Nebula NR5101
LTE7480-M804
LTE7490-M904
Nebula NR7101
NR7101
NR7102
PM7320-B0
PMG5317-T20B
PMG5617GA
PMG5622GA
NR5101
DX3301-T0
DX4510-B1
DX5401-B0
EMG3525-T50B
EMG5523-T50B
EMG5723-T50K
EX3301-T0
EX3510-B0
EX5401-B0
EX5501-B0
EX5510-B0
EX5512-T0
EX5600-T1
EX5601-T0
EX5601-T1
VMG3927-T50K
VMG4005-B50A
VMG4005-B60A
VMG8623-T50B
VMG8825-T50K
AX7501-B0
PM3100-T0
PM5100-T0
PM7300-T0
PMG5617-T20B2
WX3401-B0
WX5600-T0

Версия ПО

до 1.15(ACCG.3)C0 (Zyxel Nebula NR5101)
до V1.00(ABRA.6)C0 (LTE7480-M804)
до V1.00(ABQY.5)C0 (LTE7490-M904)
до V1.15(ACCC.3)C0 (Nebula NR7101)
до V1.00(ABUV.7)C0 (NR7101)
до V1.00(ABYD.2)C0 (NR7102)
- (PM7320-B0)
- (PMG5317-T20B)
- (PMG5617GA)
- (PMG5622GA)
до V1.00(ABVC.6)C0 (NR5101)
до V5.50(ABVY.3.4)C0 (DX3301-T0)
до V5.17(ABYL.5)C0 (DX4510-B1)
до V5.17(ABYO.3.1)C0 (DX5401-B0)
до 5.50(ABPM.7.3)C0 (EMG3525-T50B)
до 5.50(ABPM.7.3)C0 (EMG5523-T50B)
до 5.50(ABOM.8.2)C0 (EMG5723-T50K)
до 5.50(ABVY.3.4)C0 (EX3301-T0)
5.17(ABUP.7)C0 (EX3510-B0)
до 5.17(ABYO.3.1)C0 (EX5401-B0)
до 5.17(ABRY.3.2)C0 (EX5501-B0)
5.17(ABQX.7)C0 (EX5510-B0)
- (EX5512-T0)
до 5.70(ACDZ.0.1)C0 (EX5600-T1)
до 5.70(ACDZ.0.1)C0 (EX5601-T0)
до 5.70(ACDZ.0.1)C0 (EX5601-T1)
до 5.50(ABOM.8.2)C0 (VMG3927-T50K)
до V5.17(ABQA.2)C0 (VMG4005-B50A)
до V5.17(ABQA.2)C0 (VMG4005-B60A)
до 5.50(ABPM.7.3)C0 (VMG8623-T50B)
до 5.50(ABOM.8.2)C0 (VMG8825-T50K)
до V5.17(ABPC.3)C0 (AX7501-B0)
до V5.42(ACBF.1.1)C0 (PM3100-T0)
до V5.42(ACBF.1.1)C0 (PM5100-T0)
до V5.42(ABYY.1)C0 (PM7300-T0)
- (PMG5617-T20B2)
до V5.50(ABVL.1.1)C0 (PM3100-T0)
до V5.17(ABVE.2.1)C0 (WX3401-B0)
до V5.70(ACEB.0.1)C0 (WX5600-T0)

Тип ПО

Сетевое средство
Микропрограммный код
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-command-injection-and-buffer-overflow-vulnerabilities-of-cpe-fiber-onts-and-wifi-extenders

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.02503
Низкий

5.4 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-43390

CVSS3: 5.4
nvd
около 3 лет назад

A command injection vulnerability in the CGI program of Zyxel NR7101 firmware prior to V1.15(ACCC.3)C0, which could allow an authenticated attacker to execute some OS commands on a vulnerable device by sending a crafted HTTP request.

github логотип

GHSA-w46r-wg59-pm75

CVSS3: 8.8
github
около 3 лет назад

A command injection vulnerability in the CGI program of Zyxel NR7101 firmware prior to V1.15(ACCC.3)C0, which could allow an authenticated attacker to execute some OS commands on a vulnerable device by sending a crafted HTTP request.

EPSS

Процентиль: 85%
0.02503
Низкий

5.4 Medium

CVSS3

5.5 Medium

CVSS2