Zyxel USG FLEX 100(W) Donanım Yazılımı Güvenlik Açığı

Zyxel ait bazı güvenlik duvarı sürümlerinin CGI programında yer alan bir komut yerleştirme güvenlik açığı, bir saldırganın belirli dosyaları değiştirmesine ve ardından güvenlik açığı bulunan bir cihazda bazı işletim sistemi komutlarını yürütmesine izin verebilir.

CVSS Puanı10.0
Gizlilik EtkisiTamamlandı (Tüm sistem dosyalarının açığa çıkmasıyla sonuçlanan toplam bilgi ifşası var.)
Bütünlük EtkisiTamamlandı (Sistem bütünlüğünden tamamen taviz var. Sistem korumasında tam bir kayıp var, bu da tüm sistemin güvenliğinin ihlal edilmesine neden oluyor.)
Kullanılabilirlik EtkisiTamamlandı (Etkilenen kaynak tamamen kapatıldı. Saldırgan, kaynağı tamamen kullanılamaz hale getirebilir.)
Erişim KarmaşıklığıDüşük (Özel erişim koşulları veya hafifletici koşullar mevcut değildir. Yararlanmak için çok az bilgi veya beceri gereklidir.)
kimlik doğrulamaGerekli değil (Güvenlik açığından yararlanmak için kimlik doğrulama gerekli değildir.)
Kazanılan ErişimHiçbiri
Güvenlik Açığı TürleriKodu Yürüt
CWE Kimliği78

Hangi sürümler savunmasızdır ve ne yapmalısınız?

Zyxel kapsamlı bir araştırmadan sonra, güvenlik açığı destek süresi içinde olan güvenlik açığı bulunan ürünleri ve güvenlik açığını gidermek için yamalar yayınladı.

Etkilenen model
USG FLEX 100(W)
USG FLEX 50(W)
ATP serisi
VPN serisi

Bilgilendirme URL Link