ГлавнаяБаза уязвимостей БДУ → BDU:2019-04718
4.3средняя

BDU:2019-04718 (CVE-2019-9955)

Уязвимость микропрограммного обеспечения межсетевых экранов Zyxel ATP200, ATP500, ATP800, USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200-VPN, ZyWALL 110, ZyWALL 310, ZyWALL 1100, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществить межсайтовую сценарную атаку
Опубликовано: 2019-12-17
Описание

Уязвимость микропрограммного обеспечения межсетевых экранов Zyxel ATP200, ATP500, ATP800, USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200-VPN, ZyWALL 110, ZyWALL 310, ZyWALL 1100 связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить межсайтовую сценарную атаку с помощью параметра 'mp_idx'

Затрагиваемое ПО и версии
ATP200 (4.31)ATP500 (4.31)ATP800 (4.31)USG20-VPN (4.31)USG20W-VPN (4.31)USG40 (4.31)USG40W (4.31)USG60 (4.31)USG60W (4.31)USG110 (4.31)USG210 (4.31)USG310 (4.31)USG1100 (4.31)USG2200-VPN (4.31)ZyWALL 110 (4.31)ZyWALL 310 (4.31)ZyWALL 1100 (4.31)VPN50VPN100VPN300
Способ устранения

Использование рекомендаций:
https://www.securitymetrics.com/blog/Zyxel-Devices-Vulnerable-Cross-Site-Scripting-Login-page

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
https://cxsecurity.com/cveshow/CVE-2019-9955/http://packetstormsecurity.com/files/152525/Zyxel-ZyWall-Cross-Site-Scripting.htmlhttp://seclists.org/fulldisclosure/2019/Apr/22https://www.exploit-db.com/exploits/46706/https://www.securitymetrics.com/blog/Zyxel-Devices-Vulnerable-Cross-Site-Scripting-Login-pagehttps://www.zyxel.com/support/reflected-cross-site-scripting-vulnerability-of-firewalls.shtml
Проверьте безопасность своего сайта и почты → Полная проверка домена