Your browser either does not support JavaScript or you have turned JavaScript off.

Zyxel Aviso de vulnerabilidade em uma pasta da ferramenta ZON

Resumo

CVE: CVE-2020-27667

A Zyxel lançou um patch corrigindo uma permissão incorreta que causa vulnerabilidade na ferramenta Zyxel One Network (ZON) reportada recentemente pelo pesquisador da ECSC Group do Reino Unido. Os usuários são aconselhados a instalar a versão mais atualizada do software para proteção ideal.


Qual é a vulnerabilidade?

A permissão de instalação de uma pasta na ferramenta ZON foi configurada incorretamente dando permissão para o grupo "todos", o que significa que ela pode ser utilizada para ganhos de escalonamento em um computador que tenha a ferramenta instalada. Porém, a vulnerabilidade é mais comum em computadores compartilhados com múltiplas contas, já que o ZON é utilizado em computadores de profissionais de TI.


Quais versões são vulneráveis e o que devo fazer?

Depois de uma completa investigação, nós confirmamos que a vulnerabilidade afeta apenas a ferramenta ZON na versão V2.1.4 e anteriores, e nós lançamos o patch da versão V2.1.5 para corrigir este problema. Note que a vulnerabilidade não impacta os equipamentos configurados que utilizam ZON. Para a proteção ideal, pedimos aos usuários que façam a instalação da versão atualizada.

Tem alguma questão ou sugestão?

Por favor contate o seu representante local para mais informações ou assistência. Se você achar uma vulnerabilidade queremos trabalhar juntos com você para solucionarmos, contate o email security@zyxel.com.tw e entraremos em contato.


Reconhecimento

Nós agradecemos ao Richard Davy e Neil Graham da ECSC group do Reino Unido por ter nos reportado o problema.


Histórico de revisão

11/01/2021 - Release inicial