Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08506

Опубликовано: 10 янв. 2023
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость интерфейса CGI микропрограммного обеспечения сетевых устройств Zyxel ATP, USG FLEX и VPN связана с недостатками разграничения доступа к личной информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Zyxel Communications Corp.

Наименование ПО

USG FLEX
VPN
ATP
USG FLEX 50(W)
USG 20(W)-VPN
NAP203
NAP303
NAP353
ZYXEL NWA110AX
NWA1123-AC PRO
ZYXEL NWA1123ACv3
ZYXEL NWA210AX
ZYXEL NWA220AX-6E
ZYXEL NWA50AX
ZYXEL NWA50AX-PRO
NWA5123-AC HD
ZYXEL NWA55AXE
ZYXEL NWA90AX
ZYXEL NWA90AX-PRO
ZYXEL WAC500
ZYXEL WAC500H
ZYXEL WAC5302D-Sv2
WAC6103D-I
WAC6303D-S
WAC6502D-S
WAC6503D-S
WAC6552D-S
WAC6553D-E
ZYXEL WAX510D
ZYXEL WAX610D
ZYXEL WAX620D-6E
ZYXEL WAX630S
ZYXEL WAX640S-6E
ZYXEL WAX650S
ZYXEL WAX655E

Версия ПО

от 4.50 до 5.35 включительно (USG FLEX)
от 4.30 до 5.35 включительно (VPN)
от 4.32 до 5.35 включительно (ATP)
от 4.16 до 5.35 включительно (USG FLEX 50(W))
от 4.16 до 5.35 включительно (USG 20(W)-VPN)
до 6.28(ABFA.0) включительно (NAP203)
до 6.28(ABEX.0) включительно (NAP303)
до 6.28(ABEY.0) включительно (NAP353)
до 6.50(ABTG.2) включительно (ZYXEL NWA110AX)
до 6.28(ABHD.0) включительно (NWA1123-AC PRO)
до 6.50(ABVT.0) включительно (ZYXEL NWA1123ACv3)
до 6.50(ABTD.2) включительно (ZYXEL NWA210AX)
до 6.50(ACCO.2) включительно (ZYXEL NWA220AX-6E)
до 6.29(ABYW.1) включительно (ZYXEL NWA50AX)
до 6.50(ACGE.0) включительно (ZYXEL NWA50AX-PRO)
до 6.25(ABIM.9) включительно (NWA5123-AC HD)
до 6.29(ABZL.1) включительно (ZYXEL NWA55AXE)
до 6.29(ACCV.1) включительно (ZYXEL NWA90AX)
до 6.50(ACGF.0) включительно (ZYXEL NWA90AX-PRO)
до 6.50(ABVS.0) включительно (ZYXEL WAC500)
до 6.50(ABWA.0) включительно (ZYXEL WAC500H)
до 6.25(ABVZ.9) включительно (ZYXEL WAC5302D-Sv2)
до 6.28(AAXH.0) включительно (WAC6103D-I)
до 6.25(ABGL.9) включительно (WAC6303D-S)
до 6.28(AASE.0) включительно (WAC6502D-S)
до 6.28(AASF.0) включительно (WAC6503D-S)
до 6.28(ABIO.0) включительно (WAC6552D-S)
до 6.28(AASG.0) включительно (WAC6553D-E)
до 6.50(ABTF.2) включительно (ZYXEL WAX510D)
до 6.50(ABTE.2) включительно (ZYXEL WAX610D)
до 6.50(ACCN.2) включительно (ZYXEL WAX620D-6E)
до 6.50(ABZD.2) включительно (ZYXEL WAX630S)
до 6.50(ACCM.2) включительно (ZYXEL WAX640S-6E)
до 6.50(ABRM.2) включительно (ZYXEL WAX650S)
до 6.50(ACDO.2) включительно (ZYXEL WAX655E)

Тип ПО

ПО сетевого программно-аппаратного средства
Микропрограммный код
Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-of-firewalls-and-aps

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 49%
0.0026
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-22918

CVSS3: 6.5
nvd
почти 3 года назад

A post-authentication information exposure vulnerability in the CGI program of Zyxel ATP series firmware versions 4.32 through 5.35, USG FLEX series firmware versions 4.50 through 5.35, USG FLEX 50(W) firmware versions 4.16 through 5.35, USG20(W)-VPN firmware versions 4.16 through 5.35, VPN series firmware versions 4.30 through 5.35, NWA110AX firmware version 6.50(ABTG.2) and earlier versions, WAC500 firmware version 6.50(ABVS.0) and earlier versions, and WAX510D firmware version 6.50(ABTF.2) and earlier versions, which could allow a remote authenticated attacker to retrieve encrypted information of the administrator on an affected device.

github логотип

GHSA-q9h2-893q-85gq

CVSS3: 6.5
github
почти 3 года назад

A post-authentication information exposure vulnerability in the CGI program of Zyxel ATP series firmware versions 4.32 through 5.35, USG FLEX series firmware versions 4.50 through 5.35, USG FLEX 50(W) firmware versions 4.16 through 5.35, USG20(W)-VPN firmware versions 4.16 through 5.35, VPN series firmware versions 4.30 through 5.35, NWA110AX firmware version 6.50(ABTG.2) and earlier versions, WAC500 firmware version 6.50(ABVS.0) and earlier versions, and WAX510D firmware version 6.50(ABTF.2) and earlier versions, which could allow a remote authenticated attacker to retrieve encrypted information of the administrator on an affected device.

EPSS

Процентиль: 49%
0.0026
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2