Informazioni sul CVE-2024-7261

N/A

CWE ID: CWE-78

Base Score (CVSS): N/A

CVE: CVE-2024-7261

Descrizione: The improper neutralization of special elements in the parameter “host” in the CGI program of Zyxel NWA1123ACv3 firmware version 6.70(ABVT.4) and earlier, WAC500 firmware version 6.70(ABVS.4) and earlier, WAX655E firmware version 7.00(ACDO.1) and earlier, WBE530 firmware version 7.00(ACLE.1) and earlier, and USG LITE 60AX firmware version V2.00(ACIP.2) could allow an unauthenticated attacker to execute OS commands by sending a crafted cookie to a vulnerable device.

Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 9.8 (High)

Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	N	Network	L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC)	L	Low	L’attacco non richiede condizioni particolari.
Privileges Required (PR)	N	None	Non sono richiesti privilegi.
User Interaction (UI)	N	None	Non è richiesta interazione dell’utente.
Scope (S)	U	Unchanged	Il raggio d’azione non cambia.
Confidentiality Impact (C)	H	High	Grave impatto sulla riservatezza.
Integrity Impact (I)	H	High	Grave impatto sull’integrità.
Availability Impact (A)	H	High	Rende il sistema inutilizzabile.

Riferimenti esterni

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-os-command-injection-vulnerability-in-aps-and-security-router-devices-09-03-2024

Prodotti interessati

Zyxel – NWA1123ACv3 firmware
Zyxel – WAC500 firmware
Zyxel – WAX655E firmware
Zyxel – WBE530 firmware
Zyxel – USG LITE 60AX firmware

Relazioni con altri prodotti

Produttore:Zyxel
Prodotto: WAC500 firmware
Anno: 2024
CWE: CWE-78
CVSS: 0.0

Produttore:Zyxel
Prodotto: WBE530 firmware
Anno: 2024
CWE: CWE-78
CVSS: 0.0

Produttore:Zyxel
Prodotto: NWA1123ACv3 firmware
Anno: 2024
CWE: CWE-78
CVSS: 0.0

Produttore:Zyxel
Prodotto: WAX655E firmware
Anno: 2024
CWE: CWE-78
CVSS: 0.0

Produttore:Zyxel
Prodotto: USG LITE 60AX firmware
Anno: 2024
CWE: CWE-78
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2024)