Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-35139

Опубликовано: 28 нояб. 2023
Источник: nvd
CVSS3: 5.2
CVSS3: 6.1
EPSS Низкий

Описание

A cross-site scripting (XSS) vulnerability in the CGI program of the Zyxel ATP series firmware versions 5.10 through 5.37, USG FLEX series firmware versions 5.00 through 5.37, USG FLEX 50(W) series firmware versions 5.10 through 5.37, USG20(W)-VPN series firmware versions 5.10 through 5.37, and VPN series firmware versions 5.00 through 5.37, could allow an unauthenticated LAN-based attacker to store malicious scripts in a vulnerable device. A successful XSS attack could then result in the stored malicious scripts being executed to steal cookies when the user visits the specific CGI used for dumping ZTP logs.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:*
Версия от 5.10 (включая) до 5.37 (включая)

Одно из

cpe:2.3:h:zyxel:atp100:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp100w:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp200:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp500:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp700:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp800:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:*
Версия от 5.00 (включая) до 5.37 (включая)

Одно из

cpe:2.3:h:zyxel:usg_flex_100:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_100w:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_200:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_50:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_500:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_50w:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_700:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:*
Версия от 5.10 (включая) до 5.37 (включая)

Одно из

cpe:2.3:h:zyxel:usg_20w-vpn:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:vpn50w:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:*
Версия от 5.00 (включая) до 5.37 (включая)

Одно из

cpe:2.3:h:zyxel:vpn100:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:vpn1000:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:vpn300:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:vpn50:-:*:*:*:*:*:*:*

EPSS

Процентиль: 31%
0.00118
Низкий

5.2 Medium

CVSS3

6.1 Medium

CVSS3

Дефекты

CWE-79

Связанные уязвимости

github логотип

GHSA-wjqc-5477-jpgg

CVSS3: 5.2
github
около 2 лет назад

A cross-site scripting (XSS) vulnerability in the CGI program of the Zyxel ATP series firmware versions 5.10 through 5.37, USG FLEX series firmware versions 5.00 through 5.37, USG FLEX 50(W) series firmware versions 5.10 through 5.37, USG20(W)-VPN series firmware versions 5.10 through 5.37, and VPN series firmware versions 5.00 through 5.37, could allow an unauthenticated LAN-based attacker to store malicious scripts in a vulnerable device. A successful XSS attack could then result in the stored malicious scripts being executed to steal cookies when the user visits the specific CGI used for dumping ZTP logs.

fstec логотип

BDU:2023-08277

CVSS3: 5.2
fstec
больше 2 лет назад

Уязвимость интерфейса Common Gateway Interface (CGI) микропрограммного обеспечения сетевых устройств ZyXEL VPN, USG FLEX и ATP, позволяющая нарушителю проводить межсайтовые сценарные атаки и получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 31%
0.00118
Низкий

5.2 Medium

CVSS3

6.1 Medium

CVSS3

Дефекты

CWE-79