ГлавнаяБаза уязвимостей БДУ → BDU:2025-00255
9высокая

BDU:2025-00255 (CVE-2024-12398)

Уязвимость веб-интерфейса управления микропрограммного обеспечения сетевых устройств Zyxel, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2025-01-14
Описание

Уязвимость веб-интерфейса управления микропрограммного обеспечения сетевых устройств Zyxel связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии до уровня администратора и загружать конфигурационные файлы

Затрагиваемое ПО и версии
ZYXEL NWA1123ACv3 (до 6.70(ABVT.4) включительно)ZYXEL NWA50AX (до 7.00(ABYW.2) включительно)ZYXEL NWA50AX-PRO (до 7.00(ACGE.2) включительно)ZYXEL NWA55AXE (до 7.00(ABZL.2) включительно)ZYXEL NWA90AX (до 7.00(ACCV.2) включительно)ZYXEL NWA90AX-PRO (до 7.00(ACGF.2) включительно)ZYXEL NWA110AX (до 7.00(ABTG.2) включительно)ZYXEL NWA130BE (до 7.00(ACIL.3) включительно)ZYXEL NWA210AX (до 7.00(ABTD.2) включительно)ZYXEL NWA220AX-6E (до 7.00(ACCO.2) включительно)ZYXEL WAC500 (до 6.70(ABVS.5) включительно)ZYXEL WAC500H (до 6.70(ABWA.5) включительно)ZYXEL WAX300H (до 7.00(ACHF.2) включительно)ZYXEL WAX510D (до 7.00(ABTF.2) включительно)ZYXEL WAX610D (до 7.00(ABTE.2) включительно)ZYXEL WAX620D-6E (до 7.00(ACCN.2) включительно)ZYXEL WAX630S (до 7.00(ABZD.2) включительно)ZYXEL WAX640S-6E (до 7.00(ACCM.2) включительно)ZYXEL WAX650S (до 7.00(ABRM.2) включительно)ZYXEL WAX655E (до 7.00(ACDO.2) включительно)ZYXEL WBE530 (до 7.00(ACLE.3) включительно)ZYXEL WBE660S (до 6.70(ACGG.2) включительно)USG LITE 60AX (до 2.00(ACIP.4) включительно)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения удалённого доступа к веб-интерфейсу управления устройством;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-improper-privilege-management-vulnerability-in-aps-and-security-router-devices-01-14-2025

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2024-12398https://vuldb.com/?id.291399https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-improper-privilege-management-vulnerability-in-aps-and-security-router-devices-01-14-2025
Проверьте безопасность своего сайта и почты → Полная проверка домена