Aviz important: |
CVE: CVE-2023-27992
Rezumat
Zyxel a lansat patch-uri care abordează o vulnerabilitate de injectare a comenzilor de pre-autentificare în unele versiuni NAS. Utilizatorii sunt sfătuiți să le instaleze pentru o protecție optimă.
Care este vulnerabilitatea?
Vulnerabilitatea de injectare a comenzilor înainte de autentificare din unele dispozitive NAS Zyxel ar putea permite unui atacator neautentificat să execute de la distanță unele comenzi ale sistemului de operare (OS) prin trimiterea unei cereri HTTP prelucrate.
Ce versiuni sunt vulnerabile - și ce ar trebui să faceți?
După o investigație amănunțită, am identificat produsele vulnerabile care se află în perioada de suport pentru vulnerabilități, cu patch-urile de firmware ale acestora prezentate în tabelul de mai jos.
| Modelul afectat | Versiunea afectată | Disponibilitatea patch-ului |
| NAS326 | V5.21(AAZF.13)C0 și versiunile anterioare | V5.21(AAZF.14)C0 |
| NAS540 | V5.21(AATB.10)C0 și versiunile anterioare | V5.21(AATB.11)C0 |
| NAS542 | V5.21(ABAG.10)C0 și versiunile anterioare | V5.21(ABAG.11)C0 |
Aveți o întrebare?
Vă rugăm să contactați reprezentantul local de service sau să vizitați comunitatea Zyxel pentru informații suplimentare sau asistență.
Recunoaștere
Mulțumim lui Andrej Zaujec, NCSC-FI, și Maxim Suslov pentru că ne-au raportat problema.
Istoricul revizuirilor
2023-06-20:Versiune inițială.