10критическая
BDU:2021-01667 (CVE-2020-29583)
Уязвимость микропрограммного обеспечения сетевых устройств ZyXEL USG, USG VPN, ATP, ZyWALL и FLEX, связанная с незашифрованным хранением данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2021-03-30
Описание
Уязвимость микропрограммного обеспечения сетевых устройств ZyXEL USG, USG VPN, ATP, ZyWALL и FLEX связана с незашифрованным хранением данных при использовании учетной записи «zyfwp». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Затрагиваемое ПО и версии
USG2200 (4.60)USG110 (4.60)USG210 (4.60)USG1100 (4.60)USG1900 (4.60)USG20W-VPN (4.60)USG310 (4.60)USG20-VPN (4.60)USG40 (4.60)USG40W (4.60)USG60 (4.60)USG60W (4.60)ATP100 (4.60)ATP200 (4.60)ATP500 (4.60)ATP800 (4.60)ATP700 (4.60)ATP100W (4.60)ZyWALL 110 (4.60)ZyWALL 1100 (4.60)ZyWALL 310 (4.60)VPN50 (4.60)VPN300 (4.60)VPN100 (4.60)VPN000 (4.60)USG FLEX 100 (4.60)USG FLEX 100W (4.60)USG FLEX 200 (4.60)USG FLEX 500 (4.60)USG FLEX 700 (4.60)
Способ устранения
Использование рекомендаций:
https://www.zyxel.com/support/CVE-2020-29583.shtml
https://www.zyxel.com/support/security_advisories.shtml
https://businessforum.zyxel.com/discussion/5252/zld-v4-60-revoke-and-wk48-firmware-release
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи