Vulnerabilidad en Zyxel Corporation (CVE-2023-4398)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-190
Desbordamiento o ajuste de enteros
Fecha de publicación:
28/11/2023
Última modificación:
04/12/2023
Descripción
Una vulnerabilidad de desbordamiento de enteros en el código fuente del kit de herramientas QuickSec IPSec utilizado en la función VPN de las versiones de firmware: <br />
serie Zyxel ATP 4.32 a 5.37,<br />
serie USG FLEX 4.50 a 5.37, <br />
serie USG FLEX 50(W) 4.16 a 5.37 , <br />
serie USG20(W)-VPN 4.16 a 5.37.<br />
Las versiones de firmware de la serie VPN 4.30 a 5.37 podrían permitir que un atacante no autenticado cause condiciones de denegación de servicio (DoS) en un dispositivo afectado mediante el envío de un paquete IKE manipulado.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:* | 4.32 (incluyendo) | 5.37 (incluyendo) |
| cpe:2.3:h:zyxel:atp100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp100w:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp200:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp700:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:atp800:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zyxel:zld:*:*:*:*:*:*:*:* | 4.50 (incluyendo) | 5.37 (incluyendo) |
| cpe:2.3:h:zyxel:usg_flex_100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_100w:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_200:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_50:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_50w:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:zyxel:usg_flex_700:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página