Vulnerabilidad en Zyxel ATP (CVE-2024-42060)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
03/09/2024
Última modificación:
13/12/2024
Descripción
Una vulnerabilidad de inyección de comandos posterior a la autenticación en las versiones de firmware de la serie Zyxel ATP de V4.32 a V5.38, las versiones de firmware de la serie USG FLEX de V4.50 a V5.38, las versiones de firmware de la serie USG FLEX 50(W) de V4.16 a V5.38 y las versiones de firmware de la serie USG20(W)-VPN de V4.16 a V5.38 podría permitir que un atacante autenticado con privilegios de administrador ejecute algunos comandos del sistema operativo en un dispositivo afectado cargando un archivo de acuerdo de usuario interno manipulado específicamente para el dispositivo vulnerable.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:* | 4.32 (incluyendo) | 5.39 (excluyendo) |
| cpe:2.3:h:zyxel:atp100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp100w:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp200:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp700:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp800:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:* | 4.50 (incluyendo) | 5.39 (excluyendo) |
| cpe:2.3:h:zyxel:usg_flex_100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_100ax:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_100w:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_200:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_50:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_700:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página