Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-40603

Опубликовано: 06 дек. 2022
Источник: nvd
CVSS3: 4.7
CVSS3: 6.1
EPSS Низкий

Описание

A cross-site scripting (XSS) vulnerability in the CGI program of Zyxel ZyWALL/USG series firmware versions 4.30 through 4.72, VPN series firmware versions 4.30 through 5.31, USG FLEX series firmware versions 4.50 through 5.31, and ATP series firmware versions 4.32 through 5.31, which could allow an attacker to trick a user into visiting a crafted URL with the XSS payload. Then, the attacker could gain access to some browser-based information if the malicious script is executed on the victim’s browser.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:zyxel:atp800_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:atp800:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:zyxel:atp700_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:atp700:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:zyxel:atp500_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:atp500:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:zyxel:atp200_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:atp200:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:zyxel:atp100_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:atp100:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:zyxel:atp100w_firmware:*:*:*:*:*:*:*:*
Версия от 4.32 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:atp100w:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

cpe:2.3:o:zyxel:usg_flex_100w_firmware:*:*:*:*:*:*:*:*
Версия от 4.50 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:usg_flex_100w:-:*:*:*:*:*:*:*
Конфигурация 8

Одновременно

cpe:2.3:o:zyxel:usg_flex_200_firmware:*:*:*:*:*:*:*:*
Версия от 4.50 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:usg_flex_200:-:*:*:*:*:*:*:*
Конфигурация 9

Одновременно

cpe:2.3:o:zyxel:usg_flex_500_firmware:*:*:*:*:*:*:*:*
Версия от 4.50 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:usg_flex_500:-:*:*:*:*:*:*:*
Конфигурация 10

Одновременно

cpe:2.3:o:zyxel:usg_flex_700_firmware:*:*:*:*:*:*:*:*
Версия от 4.50 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:usg_flex_700:-:*:*:*:*:*:*:*
Конфигурация 11

Одновременно

cpe:2.3:o:zyxel:usg_flex_50w_firmware:*:*:*:*:*:*:*:*
Версия от 4.50 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:usg_flex_50w:-:*:*:*:*:*:*:*
Конфигурация 12

Одновременно

cpe:2.3:o:zyxel:vpn1000_firmware:*:*:*:*:*:*:*:*
Версия от 4.30 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:vpn1000:-:*:*:*:*:*:*:*
Конфигурация 13

Одновременно

cpe:2.3:o:zyxel:vpn300_firmware:*:*:*:*:*:*:*:*
Версия от 4.30 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:vpn300:-:*:*:*:*:*:*:*
Конфигурация 14

Одновременно

cpe:2.3:o:zyxel:vpn100_firmware:*:*:*:*:*:*:*:*
Версия от 4.30 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:vpn100:-:*:*:*:*:*:*:*
Конфигурация 15

Одновременно

cpe:2.3:o:zyxel:vpn50_firmware:*:*:*:*:*:*:*:*
Версия от 4.30 (включая) до 5.31 (включая)
cpe:2.3:h:zyxel:vpn50:-:*:*:*:*:*:*:*
Конфигурация 16

Одновременно

cpe:2.3:o:zyxel:usg40_firmware:*:*:*:*:*:*:*:*
Версия от 4.30 (включая) до 4.72 (включая)
cpe:2.3:h:zyxel:usg40:-:*:*:*:*:*:*:*
Конфигурация 17

Одновременно

cpe:2.3:o:zyxel:usg40w_firmware:*:*:*:*:*:*:*:*
Версия от 4.30 (включая) до 4.72 (включая)
cpe:2.3:h:zyxel:usg40w:-:*:*:*:*:*:*:*
Конфигурация 18

Одновременно

cpe:2.3:o:zyxel:usg60_firmware:*:*:*:*:*:*:*:*
Версия от 4.30 (включая) до 4.72 (включая)
cpe:2.3:h:zyxel:usg60:-:*:*:*:*:*:*:*
Конфигурация 19

Одновременно

cpe:2.3:o:zyxel:usg60w_firmware:*:*:*:*:*:*:*:*
Версия от 4.30 (включая) до 4.72 (включая)
cpe:2.3:h:zyxel:usg60w:-:*:*:*:*:*:*:*

EPSS

Процентиль: 71%
0.00669
Низкий

4.7 Medium

CVSS3

6.1 Medium

CVSS3

Дефекты

CWE-79
CWE-79

Связанные уязвимости

github логотип

GHSA-6jf5-53hp-585m

CVSS3: 6.1
github
больше 2 лет назад

A cross-site scripting (XSS) vulnerability in the CGI program of Zyxel ZyWALL/USG series firmware versions 4.30 through 4.72, VPN series firmware versions 4.30 through 5.31, USG FLEX series firmware versions 4.50 through 5.31, and ATP series firmware versions 4.32 through 5.31, which could allow an attacker to trick a user into visiting a crafted URL with the XSS payload. Then, the attacker could gain access to some browser-based information if the malicious script is executed on the victim’s browser.

fstec логотип

BDU:2022-07289

CVSS3: 4.7
fstec
больше 3 лет назад

Уязвимость интерфейса Common Gateway Interface (CGI) микропрограммного обеспечения сетевых устройств ZyXEL USG, ZyWALL, USG FLEX, ATP и VPN, позволяющая нарушителю осуществлять межсайтовые сценарные атаки

EPSS

Процентиль: 71%
0.00669
Низкий

4.7 Medium

CVSS3

6.1 Medium

CVSS3

Дефекты

CWE-79
CWE-79