[SA] Sikkerhedsrådgivning - Command Injection-sårbarhed i EMG2926-Q10A Ethernet CPE

Oprettet - Opdateret
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær venligst opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat nøjagtigt. Hvis der er spørgsmål eller uoverensstemmelser om nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Originalversion

CVE: CVE-2017-6884

Resumé

Zyxel blev for nylig opmærksom på, at CVE-2017-6884 er opført i CISA's KEV-katalog (Known Exploited Vulnerabilities); Zyxel leverede dog en patch til den nævnte tilpassede EMG2926-Q10A i 2017. Bemærk også, at EMG2926-Q10A nåede end-of-life for flere år siden; derfor anbefaler vi kraftigt, at brugerne erstatter det med et nyere generationsprodukt for optimal beskyttelse.

Hvad er sårbarheden?

En command injection-sårbarhed i diagnosticeringsfunktionen "NSLOOKUP" i den ældre Ethernet CPE EMG2926-Q10A firmwareversion V1.00(AAQT.4)b8 kan give en autentificeret angriber mulighed for at udføre shell-kommandoer på en berørt enhed.

Hvad skal man gøre?

EMG2926-Q10A er et ældre produkt, der har nået end-of-support. I overensstemmelse med branchens praksis for produktlivscyklusstyring råder Zyxel kunderne til at udskifte ældre produkter med udstyr af nyere generation for at opnå optimal beskyttelse. Hvis du har fået dit Zyxel-produkt gennem en internetudbyder (ISP), bedes du kontakte ISP'en for support.

Har du et spørgsmål?

Kontakt din lokale servicerepræsentant, eller besøg Zyxels Community for yderligere information eller hjælp.

Revisionshistorik

2023-9-19: Første udgivelse.

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
0 ud af 0 fandt dette nyttigt
Del