合勤科技(Zyxel) 已發布修補程式來解決影響NAS、防火牆和AP設備相關的 15 個安全問題,其中包括三個可能導致身分驗證繞過和命令注入的嚴重漏洞。
- CVE-2023-35138(CVSS 評分:9.8) - 命令注入漏洞,可能允許未經身份驗證的攻擊者透過發送精心設計的 HTTP POST 請求來執行某些作業系統命令。
- CVE-2023-4473(CVSS 評分:9.8)- Web 伺服器中的命令注入漏洞,可能允許未經身份驗證的攻擊者透過向易受攻擊的裝置發送精心設計的 URL 來執行某些作業系統命令。
- CVE-2023-4474(CVSS 評分:9.8) - 特殊元素漏洞的不當中和,可能允許未經身份驗證的攻擊者透過向易受攻擊的裝置發送精心設計的 URL 來執行某些作業系統命令。
此外,Zyxel 也修復了另三個高嚴重性漏洞:CVE-2023-35137、CVE-2023-37927和CVE-2023-37928,如果成功利用這些漏洞,攻擊者可能會取得系統資訊並執行任意命令。值得注意的是,CVE-2023-37927 和 CVE-2023-37928 都需要身份驗證。
這些漏洞影響以下型號和版本 -
- NAS326 - 版本 V5.21(AAZF.14)C0 及更早版本(已在 V5.21(AAZF.15)C0 中修補)
- NAS542 - 版本 V5.21(ABAG.11)C0 及更早版本(在 V5.21(ABAG.12)C0 中修補)
近日Zyxel也針對特定防火牆和AP 的九個漏洞發布了修復程序,包含 CVE-2023-35136, CVE-2023-35139, CVE-2023-37925, CVE-2023-37926, CVE-2023-4397, CVE-2023-4398, CVE-2023-5650, CVE-2023-5797, 以及CVE-2023-5960。部分漏洞可能被用來存取系統檔案和管理員日誌,並導致拒絕服務( DoS)。
由於 Zyxel 設備經常被威脅行為者利用,強烈建議用戶套用最新更新以降低潛在威脅。
本文轉載自TheHackerNews。