Тип ошибки:
CWE-359:Exposure of Private Personal Information to an Unauthorized Actor
Вектор уязвимости:
Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Уровень критичности уязвимости (CVSSv3.1): 6.5 (medium)
Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:H/SI:N/SA:N
Уровень критичности уязвимости (CVSSv4.0): 6.3 (medium)
Описание уязвимости:
В продуктах Zyxel была выявлена проблема, затрагивающая ATP (ZLD V4.32~V5.35); USG FLEX (ZLD V4.50~V5.35); USG FLEX 50(W)/ USG20(W)-VPN (ZLD V4.16~V5.35); VPN (ZLD V4.30~V5.35).
Обнаруженная уязвимость может быть использована аутентифицированным злоумышленником для повышения привилегий с помощью получения зашифрованной информации администратора на затронутом устройстве.
Статус уязвимости: Подтверждена производителем
Дата исправления уязвимости: 25.04.2023
Рекомендации:
- Обновление до версии ZLD V5.36 или выше
Прочая информация: Бюллетень по безопасности
Исследователь: Никита Абрамов (Positive Technologies)
Идентификаторы:
CVE-2023-22918
Вендор:
Zyxel
Уязвимый продукт:
ATP, USG FLEX, USG FLEX 50(W)/ USG20(W)-VPN, VPN
Уязвимые версии:
ATP - ZLD V4.32~V5.35; USG FLEX - ZLD V4.50~V5.35; USG FLEX 50(W)/ USG20(W)-VPN - ZLD V4.16~V5.35; VPN - ZLD V4.30~V5.35