Vulnerabilidad en Zyxel (CVE-2022-38547)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
07/02/2023
Última modificación:
14/02/2023
Descripción
Una vulnerabilidad de inyección de comando posterior a la autenticación en el comando CLI de las versiones de firmware de la serie Zyxel ZyWALL/USG 4.20 a 4.72, las versiones de firmware de la serie VPN 4.30 a 5.32, las versiones de firmware de la serie USG FLEX 4.50 a 5.32 y las versiones de firmware de la serie ATP 4.32 a 5.32, que podría permitir que un atacante autenticado con privilegios de administrador ejecute comandos del sistema operativo.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:zyxel:atp100_firmware:*:*:*:*:*:*:*:* | 4.32 (incluyendo) | 5.32 (incluyendo) |
| cpe:2.3:h:zyxel:atp100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:atp200_firmware:*:*:*:*:*:*:*:* | 4.32 (incluyendo) | 5.32 (incluyendo) |
| cpe:2.3:h:zyxel:atp200:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:atp700_firmware:*:*:*:*:*:*:*:* | 4.32 (incluyendo) | 5.32 (incluyendo) |
| cpe:2.3:h:zyxel:atp700:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:atp500_firmware:*:*:*:*:*:*:*:* | 4.32 (incluyendo) | 5.32 (incluyendo) |
| cpe:2.3:h:zyxel:atp500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:atp100w_firmware:*:*:*:*:*:*:*:* | 4.32 (incluyendo) | 5.32 (incluyendo) |
| cpe:2.3:h:zyxel:atp100w:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:atp800_firmware:*:*:*:*:*:*:*:* | 4.32 (incluyendo) | 5.32 (incluyendo) |
| cpe:2.3:h:zyxel:atp800:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:usg_flex_50_firmware:*:*:*:*:*:*:*:* | 4.50 (incluyendo) | 5.32 (incluyendo) |
| cpe:2.3:h:zyxel:usg_flex_50:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:usg_flex_200_firmware:*:*:*:*:*:*:*:* | 4.50 (incluyendo) | 5.32 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página