CVE-2024-7203

Опубликовано: 03 сент. 2024

Источник: nvd

CVSS3: 7.2

EPSS Низкий

Описание

A post-authentication command injection vulnerability in Zyxel ATP series firmware versions from V4.60 through V5.38 and USG FLEX series firmware versions from V4.60 through V5.38 could allow an authenticated attacker with administrator privileges to execute some operating system (OS) commands on an affected device by executing a crafted CLI command.

Ссылки

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-firewalls-09-03-2024
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:*

Версия от 4.60 (включая) до 5.39 (исключая)

Одно из

cpe:2.3:h:zyxel:atp100:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:atp100w:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:atp200:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:atp500:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:atp700:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:atp800:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:*

Версия от 4.60 (включая) до 5.39 (исключая)

Одно из

cpe:2.3:h:zyxel:usg_flex_100:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:usg_flex_100ax:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:usg_flex_100w:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:usg_flex_200:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:usg_flex_50:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:usg_flex_500:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:usg_flex_50w:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:usg_flex_700:-:*:*:*:*:*:*:*

EPSS

Процентиль: 76%

0.00918

Низкий

7.2 High

CVSS3

Дефекты

CWE-78

Связанные уязвимости

GHSA-pvch-9x5f-vxhr

CVSS3: 7.2

github

больше 1 года назад

BDU:2024-07033

CVSS3: 7.2

fstec

больше 1 года назад

Уязвимость микропрограммного обеспечения сетевых устройств Zyxel ATP, USG FLEX и USG FLEX 50(W)/USG20(W)-VPN, позволяющая нарушителю выполнить произвольные команды

EPSS

Процентиль: 76%

0.00918

Низкий

7.2 High

CVSS3

Дефекты

CWE-78