Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-0910

Опубликовано: 24 мая 2022
Источник: nvd
CVSS3: 6.5
CVSS2: 4
EPSS Низкий

Описание

A downgrade from two-factor authentication to one-factor authentication vulnerability in the CGI program of Zyxel USG/ZyWALL series firmware versions 4.32 through 4.71, USG FLEX series firmware versions 4.50 through 5.21, ATP series firmware versions 4.32 through 5.21, and VPN series firmware versions 4.32 through 5.21, that could allow an authenticated attacker to bypass the second authentication phase to connect the IPsec VPN server even though the two-factor authentication (2FA) was enabled.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:zyxel:vpn100_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:vpn100:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:zyxel:vpn1000_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:vpn1000:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:zyxel:vpn300_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:vpn300:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:zyxel:vpn50_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:vpn50:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:zyxel:atp100_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:atp100:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:zyxel:atp100w_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:atp100w:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

cpe:2.3:o:zyxel:atp200_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:atp200:-:*:*:*:*:*:*:*
Конфигурация 8

Одновременно

cpe:2.3:o:zyxel:atp500_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:atp500:-:*:*:*:*:*:*:*
Конфигурация 9

Одновременно

cpe:2.3:o:zyxel:atp700_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:atp700:-:*:*:*:*:*:*:*
Конфигурация 10

Одновременно

cpe:2.3:o:zyxel:atp800_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:atp800:-:*:*:*:*:*:*:*
Конфигурация 11

Одновременно

cpe:2.3:o:zyxel:usg_110_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg_110:-:*:*:*:*:*:*:*
Конфигурация 12

Одновременно

cpe:2.3:o:zyxel:usg_1100_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg_1100:-:*:*:*:*:*:*:*
Конфигурация 13

Одновременно

cpe:2.3:o:zyxel:usg_1900_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg_1900:-:*:*:*:*:*:*:*
Конфигурация 14

Одновременно

cpe:2.3:o:zyxel:usg_20w_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg_20w:-:*:*:*:*:*:*:*
Конфигурация 15

Одновременно

cpe:2.3:o:zyxel:usg_20w-vpn_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg_20w-vpn:-:*:*:*:*:*:*:*
Конфигурация 16

Одновременно

cpe:2.3:o:zyxel:usg_2200-vpn_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg_2200-vpn:-:*:*:*:*:*:*:*
Конфигурация 17

Одновременно

cpe:2.3:o:zyxel:usg_310_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg_310:-:*:*:*:*:*:*:*
Конфигурация 18

Одновременно

cpe:2.3:o:zyxel:usg_40_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg_40:-:*:*:*:*:*:*:*
Конфигурация 19

Одновременно

cpe:2.3:o:zyxel:usg_40w_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg_40w:-:*:*:*:*:*:*:*
Конфигурация 20

Одновременно

cpe:2.3:o:zyxel:usg_60_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg_60:-:*:*:*:*:*:*:*
Конфигурация 21

Одновременно

cpe:2.3:o:zyxel:usg_60w_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg_60w:-:*:*:*:*:*:*:*
Конфигурация 22

Одновременно

cpe:2.3:o:zyxel:usg_flex_100_firmware:*:*:*:*:*:*:*:*
Версия от 4.50 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:usg_flex_100:-:*:*:*:*:*:*:*
Конфигурация 23

Одновременно

cpe:2.3:o:zyxel:usg_flex_100w_firmware:*:*:*:*:*:*:*:*
Версия от 4.50 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:usg_flex_100w:-:*:*:*:*:*:*:*
Конфигурация 24

Одновременно

cpe:2.3:o:zyxel:usg_flex_200_firmware:*:*:*:*:*:*:*:*
Версия от 4.50 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:usg_flex_200:-:*:*:*:*:*:*:*
Конфигурация 25

Одновременно

cpe:2.3:o:zyxel:usg_flex_500_firmware:*:*:*:*:*:*:*:*
Версия от 4.50 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:usg_flex_500:-:*:*:*:*:*:*:*
Конфигурация 26

Одновременно

cpe:2.3:o:zyxel:usg_flex_700_firmware:*:*:*:*:*:*:*:*
Версия от 4.50 (включая) до 5.21 (включая)
cpe:2.3:h:zyxel:usg_flex_700:-:*:*:*:*:*:*:*
Конфигурация 27

Одновременно

cpe:2.3:o:zyxel:usg200_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg200:-:*:*:*:*:*:*:*
Конфигурация 28

Одновременно

cpe:2.3:o:zyxel:usg20_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg20:-:*:*:*:*:*:*:*
Конфигурация 29

Одновременно

cpe:2.3:o:zyxel:usg210_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg210:-:*:*:*:*:*:*:*
Конфигурация 30

Одновременно

cpe:2.3:o:zyxel:usg2200_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg2200:-:*:*:*:*:*:*:*
Конфигурация 31

Одновременно

cpe:2.3:o:zyxel:usg300_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg300:-:*:*:*:*:*:*:*
Конфигурация 32

Одновременно

cpe:2.3:o:zyxel:usg310_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 4.71 (включая)
cpe:2.3:h:zyxel:usg310:-:*:*:*:*:*:*:*

EPSS

Процентиль: 36%
0.00152
Низкий

6.5 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-287
CWE-287

Связанные уязвимости

github логотип

GHSA-mv2h-6cx9-44g2

CVSS3: 6.5
github
больше 3 лет назад

A downgrade from two-factor authentication to one-factor authentication vulnerability in the CGI program of Zyxel USG/ZyWALL series firmware versions 4.32 through 4.71, USG FLEX series firmware versions 4.50 through 5.21, ATP series firmware versions 4.32 through 5.21, and VPN series firmware versions 4.32 through 5.21, that could allow an authenticated attacker to bypass the second authentication phase to connect the IPsec VPN server even though the two-factor authentication (2FA) was enabled.

fstec логотип

BDU:2022-04127

CVSS3: 6.5
fstec
больше 3 лет назад

Уязвимость интерфейса Common Gateway Interface (CGI) микропрограммного обеспечения сетевых устройств ZyXEL USG, ZyWALL, USG FLEX, ATP и VPN, позволяющая нарушителю обойти ограничения безопасности

EPSS

Процентиль: 36%
0.00152
Низкий

6.5 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-287
CWE-287