Avviso importante: |
CVE: CVE-2023-27992
Riassunto
Zyxel ha rilasciato delle patch che risolvono una vulnerabilità di iniezione di comandi pre-autenticazione in alcune versioni di NAS. Si consiglia agli utenti di installarle per una protezione ottimale.
In cosa consiste la vulnerabilità?
La vulnerabilità dell'iniezione di comandi prima dell'autenticazione in alcuni dispositivi NAS Zyxel potrebbe consentire a un aggressore non autenticato di eseguire alcuni comandi del sistema operativo (OS) da remoto inviando una richiesta HTTP modificata.
Quali versioni sono vulnerabili e cosa bisogna fare?
Dopo un'indagine approfondita, abbiamo identificato i prodotti vulnerabili che rientrano nel periodo di supporto della vulnerabilità, con le relative patch del firmware riportate nella tabella seguente.
| Modello interessato | Versione interessata | Disponibilità della patch |
| NAS326 | V5.21(AAZF.13)C0 e precedenti | V5.21(AAZF.14)C0 |
| NAS540 | V5.21(AATB.10)C0 e precedenti | V5.21(AATB.11)C0 |
| NAS542 | V5.21(ABAG.10)C0 e precedenti | V5.21(ABAG.11)C0 |
Avete domande?
Contattare il rappresentante dell'assistenza locale o visitare la community di Zyxel per ulteriori informazioni o assistenza.
Ringraziamenti
Si ringraziano Andrej Zaujec, NCSC-FI e Maxim Suslov per averci segnalato il problema.
Cronologia delle revisioni
2023-06-20:Rilascio iniziale.