Тип ошибки:
CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
Вектор уязвимости:
Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень критичности уязвимости (CVSSv3.1): 7.5 (high)
Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Уровень критичности уязвимости (CVSSv4.0): 8.7 (high)
Описание уязвимости:
В продуктах Zyxel была выявлена проблема, затрагивающая ATP (ZLD V5.10~V5.32); USG FLEX (ZLD V5.00~V5.32); USG FLEX 50(W)/ USG20(W)-VPN (ZLD V5.10~V5.32); VPN (ZLD V5.00~V5.35).
Обнаруженная уязвимость в sdwan_iface_ipc может быть использована неаутентифицированным злоумышленником для дампа ядра с сообщением об ошибке запроса на уязвимом устройстве.
Статус уязвимости: Подтверждена производителем
Дата исправления уязвимости: 25.04.2023
Рекомендации:
- Обновление до версии ZLD V5.36 или выше
Прочая информация: Бюллетень по безопасности
Исследователь: Никита Абрамов (Positive Technologies)
Идентификаторы:
CVE-2023-22917
BDU:2023-08491
Вендор:
Zyxel
Уязвимый продукт:
ATP, USG FLEX, USG FLEX 50(W)/ USG20(W)-VPN, VPN
Уязвимые версии:
ATP - ZLD V5.10~V5.32; USG FLEX - ZLD V5.00~V5.32; USG FLEX 50(W)/ USG20(W)-VPN - ZLD V5.10~V5.32; VPN - ZLD V5.00~V5.35