NVD Vulnerability Detail
Search Exploit, PoC
CVE-2024-38270
Summary

An insufficient entropy vulnerability caused by the improper use of a randomness function with low entropy for web authentication tokens generation exists in the Zyxel GS1900-10HP firmware version V2.80(AAZI.0)C0. This vulnerability could allow a LAN-based attacker a slight chance to gain a valid session token if multiple authenticated sessions are alive.

Publication Date Sept. 10, 2024, 11:15 a.m.
Registration Date Sept. 10, 2024, 4 p.m.
Last Update Sept. 19, 2024, 3:23 a.m.
CVSS3.1 : MEDIUM
スコア 6.5
Vector CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
攻撃元区分(AV) 隣接
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I) なし
可用性への影響(A) なし
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:zyxel:gs1900-48hpv2_firmware:*:*:*:*:*:*:*:* 2.80\(abtq.1\)c0
execution environment
1 cpe:2.3:h:zyxel:gs1900-48hpv2:-:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:o:zyxel:gs1900-48_firmware:*:*:*:*:*:*:*:* 2.80\(aahn.1\)c0
execution environment
1 cpe:2.3:h:zyxel:gs1900-48:-:*:*:*:*:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:o:zyxel:gs1900-24hpv2_firmware:*:*:*:*:*:*:*:* 2.80\(abtp.1\)c0
execution environment
1 cpe:2.3:h:zyxel:gs1900-24hpv2:-:*:*:*:*:*:*:*
Configuration4 or higher or less more than less than
cpe:2.3:o:zyxel:gs1900-24ep_firmware:*:*:*:*:*:*:*:* 2.80\(abto.1\)c0
execution environment
1 cpe:2.3:h:zyxel:gs1900-24ep:-:*:*:*:*:*:*:*
Configuration5 or higher or less more than less than
cpe:2.3:o:zyxel:gs1900-24e_firmware:*:*:*:*:*:*:*:* 2.80\(aahk.1\)c0
execution environment
1 cpe:2.3:h:zyxel:gs1900-24e:-:*:*:*:*:*:*:*
Configuration6 or higher or less more than less than
cpe:2.3:o:zyxel:gs1900-24_firmware:*:*:*:*:*:*:*:* 2.80\(aahl.1\)c0
execution environment
1 cpe:2.3:h:zyxel:gs1900-24:-:*:*:*:*:*:*:*
Configuration7 or higher or less more than less than
cpe:2.3:o:zyxel:gs1900-16_firmware:*:*:*:*:*:*:*:* 2.80\(aahj.1\)c0
execution environment
1 cpe:2.3:h:zyxel:gs1900-16:-:*:*:*:*:*:*:*
Configuration8 or higher or less more than less than
cpe:2.3:o:zyxel:gs1900-10hp_firmware:*:*:*:*:*:*:*:* 2.80\(aazi.1\)c0
execution environment
1 cpe:2.3:h:zyxel:gs1900-10hp:-:*:*:*:*:*:*:*
Configuration9 or higher or less more than less than
cpe:2.3:o:zyxel:gs1900-8hp_firmware:*:*:*:*:*:*:*:* 2.80\(aahi.1\)c0
execution environment
1 cpe:2.3:h:zyxel:gs1900-8hp:-:*:*:*:*:*:*:*
Configuration10 or higher or less more than less than
cpe:2.3:o:zyxel:gs1900-8_firmware:*:*:*:*:*:*:*:* 2.80\(aahh.1\)c0
execution environment
1 cpe:2.3:h:zyxel:gs1900-8:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
複数の ZyXEL 製品におけるエントロピー不足に関する脆弱性
Title 複数の ZyXEL 製品におけるエントロピー不足に関する脆弱性
Summary

gs1900-48hpv2 ファームウェア、GS1900-48 ファームウェア、GS1900-24HPV2 ファームウェア等複数の ZyXEL 製品には、エントロピー不足に関する脆弱性が存在します。

Possible impacts 情報を取得される可能性があります。
Solution

ベンダアドバイザリまたはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date Sept. 10, 2024, midnight
Registration Date Sept. 19, 2024, 6:31 p.m.
Last Update Sept. 19, 2024, 6:31 p.m.
Affected System
ZyXEL
GS1900-10HP ファームウェア 2.80(aazi.1)c0 未満
GS1900-16 ファームウェア 2.80(aahj.1)c0 未満
GS1900-24 ファームウェア 2.80(aahl.1)c0 およびそれ以前
GS1900-24E ファームウェア 2.80(aahk.1)c0 およびそれ以前
GS1900-24EP ファームウェア 2.80(abto.1)c0 未満
GS1900-24HPV2 ファームウェア 2.80(abtp.1)c0 未満
GS1900-48 ファームウェア 2.80(aahn.1)c0 未満
gs1900-48hpv2 ファームウェア 2.80(abtq.1)c0 未満
GS1900-8 ファームウェア 2.80(aahh.1)c0 未満
GS1900-8HP ファームウェア 2.80(aahi.1)c0 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2024年09月19日]
  掲載		 Sept. 19, 2024, 6:31 p.m.