Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09788

Опубликовано: 15 июл. 2025
Источник: fstec
CVSS3: 7.2
CVSS2: 9
EPSS Низкий

Описание

Уязвимость сценария file_upload-cgi обработчика CGI микропрограммного обеспечения сетевых устройств Zyxel неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Zyxel Communications Corp.

Наименование ПО

ZYXEL NWA50AX
ZYXEL NWA50AX-PRO
ZYXEL NWA55AXE
ZYXEL NWA90AX
ZYXEL NWA90AX-PRO
ZYXEL NWA110AX
ZYXEL NWA130BE
ZYXEL NWA210AX
ZYXEL NWA220AX-6E
ZYXEL NWA1123-AC PRO
ZYXEL WAC500H
ZYXEL WAC5302D-Sv2
WAC6103D-I
ZYXEL WAX300H
ZYXEL WAX510D
ZYXEL WAX610D
ZYXEL WAX620D-6E
ZYXEL WAX630S
ZYXEL WAX640S-6E
ZYXEL WAX650S
ZYXEL WAX655E
ZYXEL WBE530
ZYXEL WBE660S

Версия ПО

до 7.10 (ABYW.1) включительно (ZYXEL NWA50AX)
до 7.10 (ACGE.2) включительно (ZYXEL NWA50AX-PRO)
до 7.10 (ABZL.1) включительно (ZYXEL NWA55AXE)
до 7.10 (ACCV.1) включительно (ZYXEL NWA90AX)
до 7.10(ACGF.2) включительно (ZYXEL NWA90AX-PRO)
до 7.10 (ABTG.1) включительно (ZYXEL NWA110AX)
до 7.10 (ACIL.2) включительно (ZYXEL NWA130BE)
до 7.10 (ABTD.1) включительно (ZYXEL NWA210AX)
до 7.10 (ACCO.1) включительно (ZYXEL NWA220AX-6E)
до 6.28 (ABHD.3) включительно (ZYXEL NWA1123-AC PRO)
до 6.70 (ABWA.6) включительно (ZYXEL WAC500H)
до 6.25 (ABVZ.9) включительно (ZYXEL WAC5302D-Sv2)
до 6.28 (AAXH.3) включительно (WAC6103D-I)
до 7.10(ACHF.1) включительно (ZYXEL WAX300H)
до 7.10 (ABTF.1) включительно (ZYXEL WAX510D)
до 7.10 (ABTE.1) включительно (ZYXEL WAX610D)
до 7.10 (ACCN.1) включительно (ZYXEL WAX620D-6E)
до 7.10 (ABZD.1) включительно (ZYXEL WAX630S)
до 7.10 (ACCM.1) включительно (ZYXEL WAX640S-6E)
до 7.10 (ABRM.1) включительно (ZYXEL WAX650S)
до 7.10 (ACDO.1) включительно (ZYXEL WAX655E)
до 7.10 (ACLE.2) включительно (ZYXEL WBE530)
до 7.10(ACGG.2) включительно (ZYXEL WBE660S)

Тип ПО

Сетевое средство
Микропрограммный код

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,2)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-path-traversal-vulnerability-in-aps-07-15-2025

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 31%
0.00121
Низкий

7.2 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-6265

CVSS3: 7.2
nvd
7 месяцев назад

A path traversal vulnerability in the file_upload-cgi CGI program of Zyxel NWA50AX PRO firmware version 7.10(ACGE.2) and earlier could allow an authenticated attacker with administrator privileges to access specific directories and delete files, such as the configuration file, on the affected device.

github логотип

GHSA-gphq-p3w8-j8vc

CVSS3: 7.2
github
7 месяцев назад

A path traversal vulnerability in the file_upload-cgi CGI program of Zyxel NWA50AX PRO firmware version 7.10(ACGE.2) and earlier could allow an authenticated attacker with administrator privileges to access specific directories and delete files, such as the configuration file, on the affected device.

EPSS

Процентиль: 31%
0.00121
Низкий

7.2 High

CVSS3

9 Critical

CVSS2