CVE-2020-9054

Оценки

EPSS

0.943высокий94.3%

0%20%40%60%80%100%

Процентиль: 94.3%

CVSS

9.8критический3.x

0246810

Оценка CVSS: 9.8/10

Все оценки CVSS

CVSS 3.x

9.8

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0

10.0

Вектор: AV:N/AC:L/Au:N/C:C/I:C/A:C

Описание

Несколько устройств сетевого хранения данных (NAS) ZyXEL с прошивкой версии 5.21 содержат уязвимость инъекции команд до аутентификации, которая может позволить удаленному неаутентифицированному злоумышленнику выполнить произвольный код на уязвимом устройстве. Устройства ZyXEL NAS достигают аутентификации с помощью выполняемого файла weblogin.cgi. Эта программа не правильно санирует параметр имени пользователя, который передается ей. Если параметр имени пользователя содержит определенные символы, это может позволить выполнить инъекцию команды с привилегиями веб-сервера, который работает на устройстве ZyXEL. Хотя веб-сервер не запускается от имени пользователя root, устройства ZyXEL включают утилиты setuid, которые могут быть использованы для запуска любой команды с корневыми привилегиями. Поэтому следует считать, что эксплуатация этой уязвимости может привести к удаленному выполнению кода с корневыми привилегиями. Отправив специально сконструированный HTTP-запрос POST или GET к уязвимому устройству ZyXEL, удаленный неаутентифицированный злоумышленник может выполнить произвольный код на устройстве. Это может произойти путем непосредственного подключения к устройству, если оно непосредственно открыто для злоумышленника. Однако существуют способы вызвать такие злоумышленные запросы даже при отсутствии прямого подключения к уязвимым устройствам. Например, простое посещение веб-сайта может привести к компрометации любого устройства ZyXEL, которое доступно с клиентской системы. Затронутые продукты включают: NAS326 до прошивки V5.21(AAZF.7)C0, NAS520 до прошивки V5.21(AASZ.3)C0, NAS540 до прошивки V5.21(AATB.4)C0, NAS542 до прошивки V5.21(ABAG.4)C0. ZyXEL выпустила обновления прошивки для устройств NAS326, NAS520, NAS540 и NAS542. Затронутые модели, которые больше не поддерживаются: NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 и NSA325v2.

Сканер-ВС 7 — современное решение для управления уязвимостями

Использует эту базу данных для обнаружения уязвимостей. Высокая скорость поиска, кроссплатформенность, продвинутый аудит конфигурации и гибкая фильтрация. Подходит для организаций любого масштаба.

Подробнее о Сканер-ВС 7

Источники

nvd

CWE

CWE-78

Связанные уязвимости

BDU:2020-01128

Эксплойты

ID эксплойта: CVE-2020-9054

Источник: cisa

URL: https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Уязвимое ПО (27)

Тип: Конфигурация

Поставщик: *

Продукт: atp100_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:atp100_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abps.3\\)c0",          "versio...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:atp100_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abps.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:atp100:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: atp200_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:atp200_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abfw.3\\)c0",          "versio...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:atp200_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abfw.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:atp200:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: atp500_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:atp500_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abfu.3\\)c0",          "versio...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:atp500_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abfu.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:atp500:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: atp800_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:atp800_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abiq.3\\)c0",          "versio...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:atp800_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abiq.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:atp800:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: nas326_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:nas326_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "5.21\\(aazf.7\\)c0",          "vulner...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:nas326_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "5.21\\(aazf.7\\)c0",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:nas326:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: nas520_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:nas520_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "5.21\\(aasz.3\\)c0",          "vulner...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:nas520_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "5.21\\(aasz.3\\)c0",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:nas520:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: nas540_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:nas540_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "5.21\\(aatb.4\\)c0",          "vulner...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:nas540_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "5.21\\(aatb.4\\)c0",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:nas540:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: nas542_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:nas542_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "5.21\\(abag.4\\)c0",          "vulner...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:nas542_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "5.21\\(abag.4\\)c0",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:nas542:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: usg1100_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg1100_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aapk.3\\)c0",          "versi...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg1100_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aapk.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:usg1100:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: usg110_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg110_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aaph.3\\)c0",          "versio...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg110_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aaph.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:usg110:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: usg1900_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg1900_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aapl.3\\)c0",          "versi...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg1900_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aapl.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:usg1900:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: usg20-vpn_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg20-vpn_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abaq.3\\)c0",          "ver...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg20-vpn_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abaq.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:usg20-vpn:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: usg20w-vpn_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg20w-vpn_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abar.3\\)c0",          "ve...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg20w-vpn_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abar.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:usg20w-vpn:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: usg210_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg210_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aapi.3\\)c0",          "versio...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg210_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aapi.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:usg210:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: usg2200_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg2200_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abae.3\\)c0",          "versi...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg2200_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(abae.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:usg2200:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: usg310_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg310_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aapj.3\\)c0",          "versio...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg310_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aapj.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:usg310:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: usg40_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg40_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aala.3\\)c0",          "version...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg40_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aala.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:usg40:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: usg40w_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg40w_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aalb.3\\)c0",          "versio...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg40w_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aalb.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:usg40w:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: usg60_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg60_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aaky.3\\)c0",          "version...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg60_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aaky.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:usg60:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: usg60w_firmware

Операционная система: * * *

Характеристика:

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg60w_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aakz.3\\)c0",          "versio...

{  "children": [    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:o:zyxel:usg60w_firmware:*:*:*:*:*:*:*:*",          "versionEndExcluding": "4.35\\(aakz.3\\)c0",          "versionStartIncluding": "4.35",          "vulnerable": true        }      ],      "operator": "OR"    },    {      "cpe_match": [        {          "cpe23uri": "cpe:2.3:h:zyxel:usg60w:-:*:*:*:*:*:*:*"        }      ],      "operator": "OR"    }  ],  "operator": "AND"}

Источник: nvd

Каталог уязвимостей Сканер-ВС

CVE-2020-9054

Оценки

EPSS

CVSS

Все оценки CVSS

Разбор вектора

CVSS

Вектор атаки

Сложность атаки

Требуемые привилегии

Взаимодействие с пользователем

Область воздействия

Воздействие на конфиденциальность

Воздействие на целостность

Воздействие на доступность

Разбор вектора

CVSS

Вектор атаки

Сложность атаки

Аутентификация

Воздействие на конфиденциальность

Воздействие на целостность

Воздействие на доступность

Описание

Сканер-ВС 7 — современное решение для управления уязвимостями

Источники

CWE

Связанные уязвимости

Эксплойты

Уязвимое ПО (27)