CVE-2024-40890
CVE-2024-40890
Em resumo
Um atacante autenticado pode executar comandos do sistema operacional em um modem Zyxel enviando uma requisição HTTP especialmente preparada. Isso permite controle total do dispositivo após fazer login.
Detalhe técnico
Injeção de comando pós-autenticação no programa CGI do firmware Zyxel VMG4325-B10A versão 1.00(AAFR.4)C0_20170615 através de requisições HTTP POST manipuladas. Requer credenciais de autenticação válidas; exploração bem-sucedida permite execução de comandos com privilégios do dispositivo.
Resumo gerado e traduzido por IA a partir da descrição oficial.
**UNSUPPORTED WHEN ASSIGNED**
A post-authentication command injection vulnerability in the CGI program of the legacy DSL CPE Zyxel VMG4325-B10A firmware version 1.00(AAFR.4)C0_20170615 could allow an authenticated attacker to execute operating system (OS) commands on an affected device by sending a crafted HTTP POST request.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Zyxel · VMG4325-B10A firmwareQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →