Vulnérabilités dans les routeurs Armor Z1 et Z2 de Zyxel

Risques

• Exécution de code arbitraire
• Injection de commandes

Criticité

• Score CVSS v3.1: 8.8 max

La faille est activement exploitée

• Non

Un correctif existe

• Oui

Une mesure de contournement existe

• Non

Les vulnérabilités exploitées sont du type

Pour la CVE-2021-4030

• CWE-352: Cross-Site Request Forgery
• CWE-79 : Improper Neutralization of Input During Web Page Generation

Pour la CVE-2021-4029

• CWE-78 : Improper Neutralization of Special Elements used in an OS Command

Détails sur l’exploitation

Pour la CVE-2021-4030

• Vecteur d’attaque : Réseau
• Complexité de l’attaque : Faible
• Privilèges nécessaires pour réaliser l’attaque : Aucun
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Pour la CVE-2021-4029

• Vecteur d’attaque : Local
• Complexité de l’attaque : Faible
• Privilèges nécessaires pour réaliser l’attaque : Aucun
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Composants vulnérables.

• Routeur Armor Z1 (NBG6816)
• Routeur Armor Z2 (NBG6816)

• Le routeur Armor Z1 (NBG6816) est arrivé en fin de vie. Il n’existe aucun correctif pour ce produit. L’éditeur recommande de changer de produit.

• Le correctif V1.00(ABCS.11)C0 existe uniquement pour le routeur Armor Z2 (NBG6817). Des informations supplémentaires sont disponiblesici.