Zyxel - CVE-2024-12398
Date de publication :
Un défaut de gestion des privilèges dans plusieurs points d’accès Zyxel permet à un attaquant authentifié, en envoyant des requêtes spécifiquement forgées, d’élever ses privilèges vers des droits administrateur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Élévation de privilèges
Exploitation
La vulnérabilité exploitée est du type
CWE-269: Improper Privilege Management
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Points d’accès Zyxel :
• NWA50AX version 7.00(ABYW.2) et versions antérieures
• NWA50AX PRO version 7.00(ACGE.2) et versions antérieures
• NWA55AXE version 7.00(ABZL.2) et versions antérieures
• NWA90AX version 7.00(ACCV.2) et versions antérieures
• NWA90AX version PRO 7.00(ACGF.2) et versions antérieures
• NWA110AX version 7.00(ABTG.2) et versions antérieures
• NWA130BE version 7.00(ACIL.3) et versions antérieures
• NWA210AX version 7.00(ABTD.2) et versions antérieures
• NWA220AX-6E version 7.00(ACCO.2) et versions antérieures
• NWA1123ACv3 version 6.70(ABVT.4) et versions antérieures
• WAC500 version 6.70(ABVS.5) et versions antérieures
• WAC500H version 6.70(ABWA.5) et versions antérieures
• WAX300H version 7.00(ACHF.2) et versions antérieures
• WAX510D version 7.00(ABTF.2) et versions antérieures
• WAX610D version 7.00(ABTE.2) et versions antérieures
• WAX620D-6E version 7.00(ACCN.2) et versions antérieures
• WAX630S version 7.00(ABZD.2) et versions antérieures
• WAX640S-6E version 7.00(ACCM.2) et versions antérieures
• WAX650S version 7.00(ABRM.2) et versions antérieures
• WAX655E version 7.00(ACDO.2) et versions antérieures
• WBE530 version 7.00(ACLE.3) et versions antérieures
• WBE660S version 6.70(ACGG.2) et versions antérieures
Routeur de sécurité USG LITE 60AX 2.00(ACIP.4) et versions antérieures
Solutions ou recommandations
Mettre à jour les appareils suivants :
• NWA50AX vers la version 7.10(ABYW.1) ou ultérieure,
• NWA50AX PRO vers la version 7.10(ACGE.1) ou ultérieure,
• NWA55AXE vers la version 7.10(ABZL.1) ou ultérieure,
• NWA90AX vers la version 7.10(ACCV.1) ou ultérieure,
• NWA90AX vers la version 7.10(ACGF.1) ou ultérieure,
• NWA110AX vers la version 7.10(ABTG.1) ou ultérieure,
• NWA130BE vers la version 7.10(ACIL.1) ou ultérieure,
• NWA210AX vers la version 7.10(ABTD.1) ou ultérieure,
• NWA220AX-6E vers la version 7.10(ACCO.1) ou ultérieure,
• NWA1123ACv3 vers la version 6.70(ABVT.6) ou ultérieure,
• WAC500 vers la version 6.70(ABVS.6) ou ultérieure,
• WAC500H vers la version 6.70(ABWA.6) ou ultérieure,
• WAX300H vers la version 7.10(ACHF.1) ou ultérieure,
• WAX510D vers la version 7.10(ABTF.1) ou ultérieure,
• WAX610D vers la version 7.10(ABTE.1) ou ultérieure,
• WAX620D-6E vers la version 7.10(ACCN.1) ou ultérieure,
• WAX630S vers la version 7.10(ABZD.1) ou ultérieure,
• WAX640S-6E vers la version 7.10(ACCM.1) ou ultérieure,
• WAX650S vers la version 7.10(ABRM.1) ou ultérieure,
• WAX655E vers la version 7.10(ACDO.1) ou ultérieure,
• WBE530 vers la version 7.10(ACLE.1) ou ultérieure,
• WBE660S vers la version 7.00(ACGG.1) ou ultérieure,
Le correctif pour les routeurs USG LITE 60AX vers la version 2.10(ACIP.0) a été déployé automatiquement, aucune action n’est requise de la part des utilisateurs.
Des informations complémentaires sont disponibles dans le bulletin de Zyxel.