Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Zyxel NWA1123ACv3 (CVE-2024-7261)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
03/09/2024
Última modificación:
13/09/2024

Descripción

La neutralización incorrecta de elementos especiales en el parámetro "host" en el programa CGI de la versión de firmware 6.70(ABVT.4) y anteriores de Zyxel NWA1123ACv3, la versión de firmware 6.70(ABVS.4) y anteriores de WAC500, la versión de firmware 7.00(ACDO.1) y anteriores de WAX655E, la versión de firmware 7.00(ACLE.1) y anteriores de WBE530, y la versión de firmware V2.00(ACIP.2) de USG LITE 60AX podría permitir que un atacante no autenticado ejecute comandos del sistema operativo enviando una cookie manipulada a un dispositivo vulnerable.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:zyxel:nwa110ax_firmware:*:*:*:*:*:*:*:* 7.00\(abtg.2\) (excluyendo)
cpe:2.3:h:zyxel:nwa110ax:-:*:*:*:*:*:*:*
cpe:2.3:o:zyxel:nwa1123-ac_pro_firmware:*:*:*:*:*:*:*:* 6.28\(abhd.3\) (excluyendo)
cpe:2.3:h:zyxel:nwa1123-ac_pro:-:*:*:*:*:*:*:*
cpe:2.3:o:zyxel:nwa1123acv3_firmware:*:*:*:*:*:*:*:* 6.70\(abvt.5\) (excluyendo)
cpe:2.3:h:zyxel:nwa1123acv3:-:*:*:*:*:*:*:*
cpe:2.3:o:zyxel:nwa130be_firmware:*:*:*:*:*:*:*:* 7.00\(acil.2\) (excluyendo)
cpe:2.3:h:zyxel:nwa130be:-:*:*:*:*:*:*:*
cpe:2.3:o:zyxel:nwa210ax_firmware:*:*:*:*:*:*:*:* 7.00\(abtd.2\) (excluyendo)
cpe:2.3:h:zyxel:nwa210ax:-:*:*:*:*:*:*:*
cpe:2.3:o:zyxel:nwa220ax-6e_firmware:*:*:*:*:*:*:*:* 7.00\(acco.2\) (excluyendo)
cpe:2.3:h:zyxel:nwa220ax-6e:-:*:*:*:*:*:*:*
cpe:2.3:o:zyxel:nwa50ax_firmware:*:*:*:*:*:*:*:* 7.00\(abyw.2\) (excluyendo)
cpe:2.3:h:zyxel:nwa50ax:-:*:*:*:*:*:*:*
cpe:2.3:o:zyxel:nwa50ax_pro_firmware:*:*:*:*:*:*:*:* 7.00\(acge.2\) (excluyendo)