CVE-2024-42059

A post-authentication command injection vulnerability in Zyxel ATP series firmware versions from V5.00 through V5.38, USG FLEX series firmware versions from V5.00 through V5.38, USG FLEX 50(W) series firmware versions from V5.00 through V5.38, and USG20(W)-VPN series firmware versions from V5.00 through V5.38 could allow an authenticated attacker with administrator privileges to execute some OS commands on an affected device by uploading a crafted compressed language file via FTP.
Configurations

Configuration 1 (hide)

AND
cpe:2.3:o:zyxel:zld_firmware:*:*:*:*:*:*:*:*
OR cpe:2.3:h:zyxel:atp100:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp100w:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp200:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp500:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp700:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp800:-:*:*:*:*:*:*:*

Configuration 2 (hide)

AND
cpe:2.3:o:zyxel:zld_firmware:*:*:*:*:*:*:*:*
OR cpe:2.3:h:zyxel:usg_flex_100:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_100ax:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_100w:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_200:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_50:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_500:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_50w:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_700:-:*:*:*:*:*:*:*

Configuration 3 (hide)

AND
cpe:2.3:o:zyxel:zld_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_20w-vpn:-:*:*:*:*:*:*:*

History

05 Sep 2024, 14:38

Type Values Removed Values Added
References () https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-firewalls-09-03-2024 - () https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-firewalls-09-03-2024 - Vendor Advisory
CPE cpe:2.3:h:zyxel:atp100w:-:*:*:*:*:*:*:*
cpe:2.3:o:zyxel:zld_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp800:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_100:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_100w:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_700:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_50w:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_200:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_20w-vpn:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp100:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp200:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp700:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_50:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_100ax:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:atp500:-:*:*:*:*:*:*:*
cpe:2.3:h:zyxel:usg_flex_500:-:*:*:*:*:*:*:*
First Time Zyxel usg Flex 100ax
Zyxel usg 20w-vpn
Zyxel usg Flex 200
Zyxel usg Flex 100
Zyxel atp700
Zyxel usg Flex 500
Zyxel atp800
Zyxel atp500
Zyxel atp100
Zyxel usg Flex 700
Zyxel usg Flex 100w
Zyxel usg Flex 50w
Zyxel usg Flex 50
Zyxel
Zyxel atp100w
Zyxel zld Firmware
Zyxel atp200

03 Sep 2024, 12:59

Type Values Removed Values Added
Summary
  • (es) Una vulnerabilidad de inyección de comandos posterior a la autenticación en las versiones de firmware de la serie Zyxel ATP de V5.00 a V5.38, las versiones de firmware de la serie USG FLEX de V5.00 a V5.38, las versiones de firmware de la serie USG FLEX 50(W) de V5.00 a V5.38 y las versiones de firmware de la serie USG20(W)-VPN de V5.00 a V5.38 podría permitir que un atacante autenticado con privilegios de administrador ejecute algunos comandos del sistema operativo en un dispositivo afectado mediante la carga de un archivo de idioma comprimido manipulado a través de FTP.

03 Sep 2024, 02:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-03 02:15

Updated : 2024-09-05 14:38


NVD link : CVE-2024-42059

Mitre link : CVE-2024-42059

CVE.ORG link : CVE-2024-42059


JSON object : View

Products Affected

zyxel

  • usg_flex_100ax
  • atp700
  • usg_flex_200
  • usg_flex_700
  • atp200
  • zld_firmware
  • atp800
  • usg_flex_100w
  • usg_flex_500
  • usg_flex_50
  • atp100w
  • atp500
  • usg_flex_50w
  • atp100
  • usg_flex_100
  • usg_20w-vpn
CWE
CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')