Vulnérabilité dans plusieurs produits Zyxel
Date de publication :
CVE-2021-35029 [Score CVSS v3 : 9.8]
Une vulnérabilité de contournement d'authentification dans l'interface web de gestion de Zyxel USG/Zywall series et USG Flex, ATP, et VPN series a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d'exécuter des commandes arbitraires sur un dispositif affecté.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
-
Contournement d’authentification
Exécution de commandes arbitraires
Violation des politiques de sécurité
Criticité
-
Score CVSS v3 : 9.8
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible publiquement à l’heure qu’il est
Composants vulnérables
-
Zyxel USG/Zywall series firmware de 4.35 à 4.64 ;
Zyxel USG Flex, ATP, et VPN series firmware de 4.35 à 5.01.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les appareils suivants aux versions :
- Zyxel USG/Zywall series firmware 4.65 ou ultérieure ;
- Zyxel USG Flex, ATP, et VPN series firmware 5.02 ou ultérieure.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.