安全动态

行业动态

漏洞动态

联系方式

地址: 广州市越秀区东风东路750号广联大厦13楼1307-1309室
电话:18898400087

Zyxel NAS设备命令注入漏洞

  • 漏洞编号:CVE-2023-27992
  • 漏洞类型:远程命令执行(RCE)
  • 漏洞等级:严重
  • 发布时间:2023-06-21

              

漏洞描述:

合勤科技(ZyXEL)是国际知名的网络宽带系统及解决方案供应商。

2023年6月21日,Zyxel 发布安全公告,修复了其多款NAS(网络附加存储)设备中的命令注入漏洞.

该漏洞影响Zyxel 多款NAS设备,未经身份验证的情况下通过发送特制HTTP请求远程执行某些系统命令,从而造成设备被破坏或被控制。

 

影响版本:

NAS326<=5.21(AAZF.13)C0

NAS540<=5.21(AATB.10)C0

NAS542<=5.21(ABAG.10)C0


 

修复建议

官方已发布新版本中修复上述漏洞,受影响用户请尽快升级到安全版本。

漏洞修复版本:

Zyxel NAS326 >= V5.21(AAZF.14)C0

Zyxel NAS540 >= V5.21(AAZF.14)C0

Zyxel NAS540 >= V5.21(ABAG.11)C0

下载链接:

https://www.zyxel.com/global/en/support/download?model=nas326

https://www.zyxel.com/global/en/support/download?model=nas540

https://www.zyxel.com/global/en/support/download?model=nas540


参考链接:

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-pre-authentication-command-injection-vulnerability-in-nas-products

https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-command-injection-flaw-in-nas-devices/

 
 

版权所有 © 2021 广州网安信息技术有限公司

粤ICP备2021096656号粤公网安备 44010402002568号