CVE-2024-40890
CVE-2024-40890
En resumen
Un atacante autenticado puede ejecutar comandos del sistema operativo en un módem Zyxel enviando una solicitud HTTP especialmente diseñada. Esto permite control total del dispositivo después de iniciar sesión.
Detalle técnico
Inyección de comando post-autenticación en el programa CGI del firmware Zyxel VMG4325-B10A versión 1.00(AAFR.4)C0_20170615 mediante solicitudes HTTP POST manipuladas. Requiere credenciales de autenticación válidas; la explotación exitosa permite ejecución de comandos con privilegios del dispositivo.
Resumen generado y traducido por IA a partir de la descripción oficial.
**UNSUPPORTED WHEN ASSIGNED**
A post-authentication command injection vulnerability in the CGI program of the legacy DSL CPE Zyxel VMG4325-B10A firmware version 1.00(AAFR.4)C0_20170615 could allow an authenticated attacker to execute operating system (OS) commands on an affected device by sending a crafted HTTP POST request.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Zyxel · VMG4325-B10A firmware¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →