Zyxel - CVE-2022-30525
Date de publication :
Une vulnérabilité d'injection de commande dans le programme CGI de certaines versions de pare-feux Zyxel permet à un attaquant de modifier des fichiers spécifiques, puis d'exécuter certaines commandes du système d'exploitation sur un appareil vulnérable.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
- Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Systèmes ou composants affectés
Zyxel USG FLEX
100(W) en version ZLD V5.00 à ZLD V5.21 Patch 1
200 en version ZLD V5.00 à ZLD V5.21 Patch 1
500 en version ZLD V5.00 à ZLD V5.21 Patch 1
700 en version ZLD V5.00 à ZLD V5.21 Patch 1
50(W) en version ZLD V5.10 à ZLD V5.21 Patch 1
USG20(W)-VPN en version ZLD V5.10 à ZLD V5.21 Patch 1
Série ATP Zyxel en version ZLD V5.10 à ZLD V5.21 Patch 1
Série VPN Zyxel en version ZLD V5.10 à ZLD V5.21 Patch 1
Solutions ou recommandations
Mettre à jour tous les produits vulnérables à la version ZLD V5.30.
Des informations complémentaires sont disponibles ici.