CVE-2024-9677

Опубликовано: 22 окт. 2024

Источник: nvd

CVSS3: 5.5

CVSS3: 7.8

EPSS Низкий

Описание

The insufficiently protected credentials vulnerability in the CLI command of the USG FLEX H series uOS firmware version V1.21 and earlier versions could allow an authenticated local attacker to gain privilege escalation by stealing the authentication token of a login administrator. Note that this attack could be successful only if the administrator has not logged out.

Ссылки

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-insufficiently-protected-credentials-vulnerability-in-firewalls-10-22-2024
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:zyxel:uos:*:*:*:*:*:*:*:*

Версия до 1.30 (исключая)

Одно из

cpe:2.3:h:zyxel:usg_flex_100h:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:usg_flex_200h:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:usg_flex_200hp:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:usg_flex_500h:-:*:*:*:*:*:*:*

cpe:2.3:h:zyxel:usg_flex_700h:-:*:*:*:*:*:*:*

EPSS

Процентиль: 21%

0.00066

Низкий

5.5 Medium

CVSS3

7.8 High

CVSS3

Дефекты

CWE-522

Связанные уязвимости

GHSA-x58f-9h5m-89hm

CVSS3: 5.5

github

больше 1 года назад

EPSS

Процентиль: 21%

0.00066

Низкий

5.5 Medium

CVSS3

7.8 High

CVSS3

Дефекты

CWE-522