Zyxel USG FLEX H のシリーズファイアウォール < 1.30 の権限昇格

high Nessus プラグイン ID 237023

概要

リモートセキュリティゲートウェイは、権限昇格の脆弱性の影響を受けます。

説明

Zyxel USG のファームウェアバージョンは uOS より前です 1.30。これは、Zyxel デバイスが権限昇格の脆弱性に脆弱であることを意味します。USG FLEX H シリーズのファイアウォールの CLI コマンドにおいて、保護が不十分な認証情報の脆弱性により、認証されたローカルの攻撃者が、ログイン管理者の認証トークンを盗むことで、権限昇格を取得できる可能性があります。この攻撃は、管理者がログアウトしていない場合にのみ成功する可能性があることに注意してください。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Zyxel USG uOS 1.30 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?2de6acef

プラグインの詳細

深刻度: High

ID: 237023

ファイル名: zyxel_usg_cve-2024-9677.nasl

バージョン: 1.1

タイプ: local

ファミリー: Firewalls

公開日: 2025/5/21

更新日: 2025/5/21

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.8

ベクトル: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-9677

CVSS v3

リスクファクター: High

基本値: 7.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/h:zyxel:usg_flex

必要な KB アイテム: installed_sw/Zyxel Unified Security Gateway (USG)

パッチ公開日: 2024/10/21

脆弱性公開日: 2024/10/21

参照情報

CVE: CVE-2024-9677

IAVA: 2024-A-0684-S