Fontos értesítés: |
CVE: CVE-2023-27992
Összefoglaló
A Zyxel kiadta a javításokat, amelyek a hitelesítés előtti parancsinjekciós sebezhetőséget orvosolják egyes NAS-verziókban. A felhasználóknak javasoljuk, hogy az optimális védelem érdekében telepítsék ezeket.
Mi a sebezhetőség?
A hitelesítés előtti parancsinjekciós sebezhetőség egyes Zyxel NAS-eszközökben lehetővé teheti egy nem hitelesített támadó számára, hogy távolról futtasson néhány operációs rendszer (OS) parancsot egy szerkesztett HTTP-kérelem elküldésével.
Mely verziók sebezhetőek - és mit kell tennie?
Alapos vizsgálatot követően azonosítottuk a sebezhető termékeket, amelyek a sebezhetőségi támogatási időszakon belül vannak, és amelyek firmware-foltjait az alábbi táblázat tartalmazza.
| Érintett modell | Érintett verzió | A javítás elérhetősége |
| NAS326 | V5.21(AAZF.13)C0 és korábbiak | V5.21(AAZF.14)C0 |
| NAS540 | V5.21(AATB.10)C0 és korábbiak | V5.21(AATB.11)C0 |
| NAS542 | V5.21(ABAG.10)C0 és korábbiak | V5.21(ABAG.11)C0 |
Kérdése van?
További információért vagy segítségért forduljon helyi szervizképviselőjéhez, vagy látogasson el a Zyxel közösségébe.
Visszaigazolás
Köszönet Andrej Zaujecnek, az NCSC-FI-nek és Maxim Suslovnak a probléma bejelentéséért.
Felülvizsgálati előzmények
2023-06-20: Elsőkiadás.