CVE-2019-12583

Опубликовано: 27 июн. 2019

Источник: nvd

CVSS3: 9.1

CVSS2: 6.4

EPSS Средний

Описание

Missing Access Control in the "Free Time" component of several Zyxel UAG, USG, and ZyWall devices allows a remote attacker to generate guest accounts by directly accessing the account generator. This can lead to unauthorised network access or Denial of Service.

Ссылки

https://n-thumann.de/blog/zyxel-gateways-missing-access-control-in-account-generator-xss/
Exploit
Third Party Advisory
https://www.zyxel.com/support/vulnerabilities-related-to-the-Free-Time-feature.shtml
Patch
Vendor Advisory
https://n-thumann.de/blog/zyxel-gateways-missing-access-control-in-account-generator-xss/
Exploit
Third Party Advisory
https://www.zyxel.com/support/vulnerabilities-related-to-the-Free-Time-feature.shtml
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:zyxel:uag2100_firmware:*:*:*:*:*:*:*:*

Версия до 4.18\(aaiz.1\)c0 (включая)

cpe:2.3:h:zyxel:uag2100:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:zyxel:uag4100_firmware:*:*:*:*:*:*:*:*

Версия до 4.18\(aatd.1\)c0 (включая)

cpe:2.3:h:zyxel:uag4100:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:zyxel:uag5100_firmware:*:*:*:*:*:*:*:*

Версия до 4.18\(aapn.1\)c0 (включая)

cpe:2.3:h:zyxel:uag5100:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:zyxel:usg110_firmware:*:*:*:*:*:*:*:*

Версия до 4.33\(aaph.0\)c0 (включая)

cpe:2.3:h:zyxel:usg110:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:zyxel:usg210_firmware:*:*:*:*:*:*:*:*

Версия до 4.33\(aapi.0\)c0 (включая)

cpe:2.3:h:zyxel:usg210:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:zyxel:usg310_firmware:*:*:*:*:*:*:*:*

Версия до 4.33\(aapj.0\)c0 (включая)

cpe:2.3:h:zyxel:usg310:-:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

cpe:2.3:o:zyxel:usg1100_firmware:*:*:*:*:*:*:*:*

Версия до 4.33\(aapk.0\)c0 (включая)

cpe:2.3:h:zyxel:usg1100:-:*:*:*:*:*:*:*

Конфигурация 8

Одновременно

cpe:2.3:o:zyxel:usg1900_firmware:*:*:*:*:*:*:*:*

Версия до 4.33\(aapl.0\)c0 (включая)

cpe:2.3:h:zyxel:usg1900:-:*:*:*:*:*:*:*

Конфигурация 9

Одновременно

cpe:2.3:o:zyxel:usg2200-vpn_firmware:*:*:*:*:*:*:*:*

Версия до 4.33\(abae.0\)c0 (включая)

cpe:2.3:h:zyxel:usg2200-vpn:-:*:*:*:*:*:*:*

Конфигурация 10

Одновременно

cpe:2.3:o:zyxel:zywall_vpn100_firmware:*:*:*:*:*:*:*:*

Версия до 10.02\(abfv.0\)c0 (включая)

cpe:2.3:h:zyxel:zywall_vpn100:-:*:*:*:*:*:*:*

Конфигурация 11

Одновременно

cpe:2.3:o:zyxel:zywall_vpn300_firmware:*:*:*:*:*:*:*:*

Версия до 10.02\(abfc.0\)c0 (включая)

cpe:2.3:h:zyxel:zywall_vpn300:-:*:*:*:*:*:*:*

Конфигурация 12

Одновременно

cpe:2.3:o:zyxel:zywall_110_firmware:*:*:*:*:*:*:*:*

Версия до 4.33\(aaaa.0\)c0 (включая)

cpe:2.3:h:zyxel:zywall_110:-:*:*:*:*:*:*:*

Конфигурация 13

Одновременно

cpe:2.3:o:zyxel:zywall_310_firmware:*:*:*:*:*:*:*:*

Версия до 4.33\(aaab.0\)c0 (включая)

cpe:2.3:h:zyxel:zywall_310:-:*:*:*:*:*:*:*

Конфигурация 14

Одновременно

cpe:2.3:o:zyxel:zywall_1100_firmware:*:*:*:*:*:*:*:*

Версия до 4.33\(aaac.0\)c0 (включая)

cpe:2.3:h:zyxel:zywall_1100:-:*:*:*:*:*:*:*

EPSS

Процентиль: 98%

0.59063

Средний

9.1 Critical

CVSS3

6.4 Medium

CVSS2

Дефекты

CWE-425

Связанные уязвимости

GHSA-cq6f-phq5-pc66

CVSS3: 9.1

github

больше 3 лет назад

EPSS

Процентиль: 98%

0.59063

Средний

9.1 Critical

CVSS3

6.4 Medium

CVSS2

Дефекты

CWE-425