Vulnerabilidad en Zyxel Corporation (CVE-2023-6399)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-134
Utilización de formatos de cadenas de control externo
Fecha de publicación:
20/02/2024
Última modificación:
21/01/2025
Descripción
Una vulnerabilidad de cadena de formato en las versiones de firmware de la serie Zyxel ATP desde 4.32 hasta 5.37 Parche 1, versiones de firmware de la serie USG FLEX desde 4.50 hasta 5.37 Parche 1, versiones de firmware de la serie USG FLEX 50(W) desde 4.16 hasta 5.37 Parche 1 y USG20(W) -Las versiones de firmware de la serie VPN desde la 4.16 hasta la 5.37, parche 1, podrían permitir que un usuario de VPN IPSec autenticado provoque condiciones DoS contra el demonio "deviceid" enviando un nombre de host manipulado a un dispositivo afectado si tiene habilitada la función "Device Insight".
Impacto
Puntuación base 3.x
5.70
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:zyxel:atp100_firmware:*:*:*:*:*:*:*:* | 5.10 (incluyendo) | 5.37 (excluyendo) |
| cpe:2.3:o:zyxel:atp100_firmware:5.37:-:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:atp100_firmware:5.37:patch1:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:atp100w_firmware:*:*:*:*:*:*:*:* | 5.10 (incluyendo) | 5.37 (excluyendo) |
| cpe:2.3:o:zyxel:atp100w_firmware:5.37:-:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:atp100w_firmware:5.37:patch1:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp100w:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:atp200_firmware:*:*:*:*:*:*:*:* | 5.10 (incluyendo) | 5.37 (excluyendo) |
| cpe:2.3:o:zyxel:atp200_firmware:5.37:-:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:atp200_firmware:5.37:patch1:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp200:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:atp500_firmware:*:*:*:*:*:*:*:* | 5.10 (incluyendo) | 5.37 (excluyendo) |
| cpe:2.3:o:zyxel:atp500_firmware:5.37:-:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:atp500_firmware:5.37:patch1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página