Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03504

Опубликовано: 24 апр. 2023
Источник: fstec
CVSS3: 8.1
CVSS2: 10
EPSS Низкий

Описание

Уязвимость файла account_operator.cgi микропрограммного обеспечения сетевых устройств ZyXEL USG FLEX и VPN связана с непринятием мер по нейтрализации специальных элементов, используемых в команде ОС. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, изменить конфигурационные данные устройства и вызвать отказ в обслуживании

Вендор

Zyxel Communications Corp.

Наименование ПО

USG FLEX 100
USG FLEX 100W
USG FLEX 200
USG FLEX 50
USG FLEX 50(W)
USG FLEX 500
USG FLEX 700
VPN100
VPN1000
VPN300
VPN50

Версия ПО

от 4.50 до 5.35 включительно (USG FLEX 100)
от 4.50 до 5.35 включительно (USG FLEX 100W)
от 4.50 до 5.35 включительно (USG FLEX 200)
от 4.50 до 5.35 включительно (USG FLEX 50)
от 4.50 до 5.35 включительно (USG FLEX 50(W))
от 4.50 до 5.35 включительно (USG FLEX 500)
от 4.50 до 5.35 включительно (USG FLEX 700)
от 4.50 до 5.35 включительно (VPN100)
от 4.50 до 5.35 включительно (VPN1000)
от 4.50 до 5.35 включительно (VPN300)
от 4.50 до 5.35 включительно (VPN50)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое средство
Микропрограммный код

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удаленного подключения;
- отключение/удаление неиспользуемых учетных записей пользователей;
- использование систем обнаружения и предотвращения вторжений.
Использование рекомендаций производителя:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-of-firewalls-and-aps

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 75%
0.00892
Низкий

8.1 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-22913

CVSS3: 8.1
nvd
почти 3 года назад

A post-authentication command injection vulnerability in the “account_operator.cgi” CGI program of Zyxel USG FLEX series firmware versions 4.50 through 5.35, and VPN series firmware versions 4.30 through 5.35, which could allow a remote authenticated attacker to modify device configuration data, resulting in denial-of-service (DoS) conditions on an affected device.

github логотип

GHSA-g276-jg34-q58g

CVSS3: 8.1
github
больше 2 лет назад

A post-authentication command injection vulnerability in the “account_operator.cgi” CGI program of Zyxel USG FLEX series firmware versions 4.50 through 5.35, and VPN series firmware versions 4.30 through 5.35, which could allow a remote authenticated attacker to modify device configuration data, resulting in denial-of-service (DoS) conditions on an affected device.

EPSS

Процентиль: 75%
0.00892
Низкий

8.1 High

CVSS3

10 Critical

CVSS2