CVE-2024-29972

Опубликовано: 04 июн. 2024

Источник: nvd

CVSS3: 9.8

EPSS Критический

Описание

** UNSUPPORTED WHEN ASSIGNED ** The command injection vulnerability in the CGI program "remote_help-cgi" in Zyxel NAS326 firmware versions before V5.21(AAZF.17)C0 and NAS542 firmware versions before V5.21(ABAG.14)C0 could allow an unauthenticated attacker to execute some operating system (OS) commands by sending a crafted HTTP POST request.

Ссылки

https://outpost24.com/blog/zyxel-nas-critical-vulnerabilities/
Exploit
Third Party Advisory
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-nas-products-06-04-2024
Vendor Advisory
https://outpost24.com/blog/zyxel-nas-critical-vulnerabilities/
Exploit
Third Party Advisory
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-nas-products-06-04-2024
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:zyxel:nas326_firmware:*:*:*:*:*:*:*:*

Версия до 5.21\(aazf.17\)c0 (исключая)

cpe:2.3:h:zyxel:nas326:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:zyxel:nas542_firmware:*:*:*:*:*:*:*:*

Версия до 5.21\(abag.14\)c0 (исключая)

cpe:2.3:h:zyxel:nas542:-:*:*:*:*:*:*:*

EPSS

Процентиль: 100%

0.9268

Критический

9.8 Critical

CVSS3

Дефекты

CWE-78

Связанные уязвимости

GHSA-9c67-m3v4-35rv

CVSS3: 9.8

github

больше 1 года назад

BDU:2024-04391

CVSS3: 9.8

fstec

больше 1 года назад

Уязвимость файла Remote_help-cgi микропрограммного обеспечения сетевых хранилищ Zyxel NAS326, NAS542, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 100%

0.9268

Критический

9.8 Critical

CVSS3

Дефекты

CWE-78