CVE-2024-29976

Опубликовано: 04 июн. 2024

Источник: nvd

CVSS3: 6.5

EPSS Низкий

Описание

** UNSUPPORTED WHEN ASSIGNED ** The improper privilege management vulnerability in the command “show_allsessions” in Zyxel NAS326 firmware versions before V5.21(AAZF.17)C0 and NAS542 firmware versions before V5.21(ABAG.14)C0 could allow an authenticated attacker to obtain a logged-in administrator’s session information containing cookies on an affected device.

Ссылки

https://outpost24.com/blog/zyxel-nas-critical-vulnerabilities/
Exploit
Third Party Advisory
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-nas-products-06-04-2024
Vendor Advisory
https://outpost24.com/blog/zyxel-nas-critical-vulnerabilities/
Exploit
Third Party Advisory
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-nas-products-06-04-2024
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:zyxel:nas326_firmware:*:*:*:*:*:*:*:*

Версия до 5.21\(aazf.17\)c0 (исключая)

cpe:2.3:h:zyxel:nas326:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:zyxel:nas542_firmware:*:*:*:*:*:*:*:*

Версия до 5.21\(abag.14\)c0 (исключая)

cpe:2.3:h:zyxel:nas542:-:*:*:*:*:*:*:*

EPSS

Процентиль: 90%

0.05363

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-269

NVD-CWE-noinfo

Связанные уязвимости

GHSA-f5mr-vq5h-37xc

CVSS3: 6.5

github

больше 1 года назад

BDU:2024-04529

CVSS3: 6.5

fstec

больше 1 года назад

Уязвимость микропрограммного обеспечения сетевых хранилищ Zyxel NAS326 и Zyxel NAS542, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 90%

0.05363

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-269

NVD-CWE-noinfo