Ważna informacja: |
CVE: CVE-2023-27992
Podsumowanie
Zyxel opublikował poprawki usuwające lukę we wstrzyknięciu polecenia przed uwierzytelnieniem w niektórych wersjach NAS. Użytkownikom zaleca się ich zainstalowanie w celu zapewnienia optymalnej ochrony.
Na czym polega luka?
Podatność na wstrzyknięcie polecenia przed uwierzytelnieniem w niektórych urządzeniach Zyxel NAS może pozwolić nieuwierzytelnionemu atakującemu na zdalne wykonanie niektórych poleceń systemu operacyjnego (OS) poprzez wysłanie spreparowanego żądania HTTP.
Które wersje są podatne na ataki i co należy zrobić?
Po dokładnym zbadaniu zidentyfikowaliśmy podatne produkty, które znajdują się w okresie wsparcia podatności, a ich poprawki oprogramowania układowego przedstawiono w poniższej tabeli.
| Model, którego dotyczy luka | Wersja, której dotyczy luka | Dostępność poprawki |
| NAS326 | V5.21(AAZF.13)C0 i wcześniejsze | V5.21(AAZF.14)C0 |
| NAS540 | V5.21(AATB.10)C0 i wcześniejsze | V5.21(AATB.11)C0 |
| NAS542 | V5.21(ABAG.10)C0 i wcześniejsze | V5.21(ABAG.11)C0 |
Masz pytanie?
Skontaktuj się z lokalnym przedstawicielem serwisu lub odwiedź społeczność Zyxel, aby uzyskać dodatkowe informacje lub pomoc.
Podziękowania
Podziękowania dla Andreja Zaujeca, NCSC-FI i Maxima Suslova za zgłoszenie problemu.
Historia zmian
2023-06-20: Pierwszewydanie.