Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-29299

Опубликовано: 27 дек. 2020
Источник: nvd
CVSS3: 7.2
CVSS2: 9
EPSS Низкий

Описание

Certain Zyxel products allow command injection by an admin via an input string to chg_exp_pwd during a password-change action. This affects VPN On-premise before ZLD V4.39 week38, VPN Orchestrator before SD-OS V10.03 week32, USG before ZLD V4.39 week38, USG FLEX before ZLD V4.55 week38, ATP before ZLD V4.55 week38, and NSG before 1.33 patch 4.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:zyxel:vpn_orchestrator:*:*:*:*:*:*:*:*
Версия до 10.03 (исключая)
cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:*
Версия до 4.39 (исключая)
Конфигурация 2

Одновременно

cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:*
Версия до 4.55 (исключая)
cpe:2.3:h:zyxel:usg_flex:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:*
Версия до 4.55 (исключая)
cpe:2.3:h:zyxel:atp:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

Одно из

cpe:2.3:o:zyxel:nsg_firmware:*:*:*:*:*:*:*:*
Версия до 1.33 (исключая)
cpe:2.3:o:zyxel:nsg_firmware:1.33:-:*:*:*:*:*:*
cpe:2.3:o:zyxel:nsg_firmware:1.33:patch1:*:*:*:*:*:*
cpe:2.3:h:zyxel:nsg:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

Одно из

cpe:2.3:o:zyxel:usg_flex_firmware:-:*:*:*:*:*:*:*
cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:*
Версия до 4.39 (исключая)
cpe:2.3:h:zyxel:usg_flex:-:*:*:*:*:*:*:*

EPSS

Процентиль: 87%
0.0361
Низкий

7.2 High

CVSS3

9 Critical

CVSS2

Дефекты

CWE-77

Связанные уязвимости

github логотип

GHSA-g8hw-8grv-27jh

github
больше 3 лет назад

Certain Zyxel products allow command injection by an admin via an input string to chg_exp_pwd during a password-change action. This affects VPN On-premise before ZLD V4.39 week38, VPN Orchestrator before SD-OS V10.03 week32, USG before ZLD V4.39 week38, USG FLEX before ZLD V4.55 week38, ATP before ZLD V4.55 week38, and NSG before 1.33 patch 4.

EPSS

Процентиль: 87%
0.0361
Низкий

7.2 High

CVSS3

9 Critical

CVSS2

Дефекты

CWE-77