Vulnerabilidad en Zyxel ATP (CVE-2024-42059)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
03/09/2024
Última modificación:
13/12/2024
Descripción
Una vulnerabilidad de inyección de comandos posterior a la autenticación en las versiones de firmware de la serie Zyxel ATP de V5.00 a V5.38, las versiones de firmware de la serie USG FLEX de V5.00 a V5.38, las versiones de firmware de la serie USG FLEX 50(W) de V5.00 a V5.38 y las versiones de firmware de la serie USG20(W)-VPN de V5.00 a V5.38 podría permitir que un atacante autenticado con privilegios de administrador ejecute algunos comandos del sistema operativo en un dispositivo afectado mediante la carga de un archivo de idioma comprimido manipulado a través de FTP.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:* | 5.00 (incluyendo) | 5.39 (excluyendo) |
| cpe:2.3:h:zyxel:atp100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp100w:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp200:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp700:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp800:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:* | 5.00 (incluyendo) | 5.39 (excluyendo) |
| cpe:2.3:h:zyxel:usg_flex_100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_100ax:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_100w:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_200:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_50:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_50w:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página