CVSS: 7.0EPSS: 0%CPEs: 1EXPL: 0CVE-2024-23482 – ZScalerService Local Privilege Escalation
https://notcve.org/view.php?id=CVE-2024-23482
The ZScaler service is susceptible to a local privilege escalation vulnerability found in the ZScalerService process. Fixed Version: Mac ZApp 4.2.0.241 and later. El servicio ZScaler es susceptible a una vulnerabilidad de escalada de privilegios local que se encuentra en el proceso ZScalerService. Versión fija: Mac ZApp 4.2.0.241 y posteriores. • https://help.zscaler.com/client-connector/client-connector-app-release-summary-2024 • CWE-20: Improper Input Validation •
CVSS: 7.3EPSS: 0%CPEs: 1EXPL: 0CVE-2023-41973 – Lack of input santization on Zscaler Client Connector enables arbitrary code execution
https://notcve.org/view.php?id=CVE-2023-41973
ZSATray passes the previousInstallerName as a config parameter to TrayManager, and TrayManager constructs the path and appends previousInstallerName to get the full path of the exe. Fixed Version: Win ZApp 4.3.0.121 and later. ZSATray pasa el nombre del instalador anterior como parámetro de configuración a TrayManager, y TrayManager construye la ruta y agrega el nombre del instalador anterior para obtener la ruta completa del archivo ejecutable. Versión fija: Win ZApp 4.3.0.121 y posteriores. • https://help.zscaler.com/client-connector/client-connector-app-release-summary-2023?applicable_category=Windows&applicable_version=4.3.0.121&deployment_date=2023-09-01&id=1463196 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.3EPSS: 0%CPEs: 1EXPL: 0CVE-2023-41972 – Revert password check incorrect type validation
https://notcve.org/view.php?id=CVE-2023-41972
In some rare cases, there is a password type validation missing in Revert Password check and for some features it could be disabled. Fixed Version: Win ZApp 4.3.0.121 and later. En algunos casos excepcionales, falta una validación del tipo de contraseña en la verificación de revertir contraseña y, para algunas funciones, podría estar deshabilitada. Versión fija: Win ZApp 4.3.0.121 y posteriores. • https://help.zscaler.com/client-connector/client-connector-app-release-summary-2023?applicable_category=Windows&applicable_version=4.3.0.121&deployment_date=2023-09-01&id=1463196 • CWE-269: Improper Privilege Management •
CVSS: 7.3EPSS: 0%CPEs: 1EXPL: 0CVE-2023-41969 – ZSATrayManager Arbitrary File Deletion
https://notcve.org/view.php?id=CVE-2023-41969
An arbitrary file deletion in ZSATrayManager where it protects the temporary encrypted ZApp issue reporting file from the unprivileged end user access and modification. Fixed version: Win ZApp 4.3.0 and later. Una eliminación arbitraria de archivos en ZSATrayManager donde protege el archivo temporal cifrado de informes de problemas de ZApp del acceso y modificación del usuario final sin privilegios. Versión fija: Win ZApp 4.3.0 y posterior. • https://help.zscaler.com/client-connector/client-connector-app-release-summary-2023 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-28807 – Bypass of ZIA domain fronting detection module through evasion technique
https://notcve.org/view.php?id=CVE-2023-28807
In Zscaler Internet Access (ZIA) a mismatch between Connect Host and Client Hello's Server Name Indication (SNI) enables attackers to evade network security controls by hiding their communications within legitimate traffic. En Zscaler Internet Access (ZIA), una falta de coincidencia entre Connect Host y Client Hello's Server Name Indication (SNI) permite a los atacantes evadir los controles de seguridad de la red ocultando sus comunicaciones dentro del tráfico legítimo. • https://help.zscaler.com/zia/configuring-advanced-settings#dns-optimization https://help.zscaler.com/zia/configuring-advanced-settings#domain-fronting • CWE-295: Improper Certificate Validation •