Wichtiger Hinweis: |
CVE: CVE-2023-27992
Zusammenfassung
Zyxel hat Patches veröffentlicht, die eine Schwachstelle bei der Befehlsinjektion vor der Authentifizierung in einigen NAS-Versionen beheben. Benutzern wird empfohlen, diese zu installieren, um sich optimal zu schützen.
Worin besteht die Sicherheitslücke?
Die Schwachstelle bei der Befehlsinjektion vor der Authentifizierung in einigen NAS-Geräten von Zyxel könnte es einem nicht authentifizierten Angreifer ermöglichen, einige Betriebssystembefehle aus der Ferne auszuführen, indem er eine manipulierte HTTP-Anfrage sendet.
Welche Versionen sind anfällig - und was sollten Sie tun?
Nach einer gründlichen Untersuchung haben wir die anfälligen Produkte identifiziert, die sich noch im Support-Zeitraum für die Schwachstelle befinden. Die Firmware-Patches sind in der folgenden Tabelle aufgeführt.
| Betroffenes Modell | Betroffene Version | Verfügbarkeit des Patches |
| NAS326 | V5.21(AAZF.13)C0 und früher | V5.21(AAZF.14)C0 |
| NAS540 | V5.21(AATB.10)C0 und früher | V5.21(AATB.11)C0 |
| NAS542 | V5.21(ABAG.10)C0 und früher | V5.21(ABAG.11)C0 |
Haben Sie eine Frage?
Wenden Sie sich bitte an Ihren lokalen Servicevertreter oder besuchen Sie die Zyxel-Community, um weitere Informationen oder Unterstützung zu erhalten.
Danksagung
Vielen Dank an Andrej Zaujec, NCSC-FI, und Maxim Suslov, die uns das Problem gemeldet haben.
Historie der Revisionen
2023-06-20: ErsteVeröffentlichung.