Vulnerabilidad en Zyxel NAS326 (CVE-2023-37927)
Severidad:
ALTA
Type:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
30/11/2023
Última modificación:
06/12/2023
Descripción
La neutralización inadecuada de elementos especiales en el programa CGI del firmware Zyxel NAS326 versión V5.21(AAZF.14)C0 y NAS542 versión V5.21(ABAG.11)C0 podría permitir que un atacante autenticado ejecute algún sistema operativo (OS ) comandos enviando una URL manipulada a un dispositivo vulnerable.
Impacto
Puntuación base 3.x
8.80
Severidad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:zyxel:nas326_firmware:*:*:*:*:*:*:*:* | 5.21\(aazf.14\)c0 (incluyendo) | |
| cpe:2.3:h:zyxel:nas326:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:nas542_firmware:*:*:*:*:*:*:*:* | 5.21\(abag.11\)c0 (incluyendo) | |
| cpe:2.3:h:zyxel:nas542:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugprove.com/knowledge-hub/cve-2023-37927-and-cve-2023-37928-multiple-post-auth-blind-os-command-and-python-code-injection-vulnerabilities-in-zyxel-s-nas-326-devices/
- https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-authentication-bypass-and-command-injection-vulnerabilities-in-nas-products