兆勤科技發佈本地權限提升和防火牆驗證目錄遍歷安全漏洞公告

CVE: CVE-2022-30526, CVE-2022-2030


摘要

Zyxel發佈產品遭受本地權限提升和驗證目錄遍歷安全性漏洞的公告。建議用戶安裝最新版本以獲得最佳保護。


什麼是安全漏洞攻擊?

CVE-2022-30526

在某些防火牆版本的 CLI 命令中發現了一個權限提升漏洞,該漏洞可能允許本地攻擊者在易受攻擊的設備上的某些目錄中以 root 權限執行某些OS操作系統命令。

CVE-2022-2030

在某些防火牆版本的CGI 程式中發現了一個未正確清理 URL 中的特定字符序列引發的身份驗證目錄遍歷漏洞。


受影響的版本及預防措施

經過詳細檢查,我們已針對仍在保固支援期間內受影響的 CVE-2022-30526 和 CVE-2022-2030產品,發佈韌體修補程式,以提供用戶最佳防護。

受影響的型號 受影響的版本最新修補程式
CVE-2022-30526 CVE-2022-2030
USG FLEX 100(W), 200, 500, 700 ZLD V4.50~V5.30 ZLD V4.50~V5.30 ZLD V5.31
USG FLEX 50(W) / USG20(W)-VPN ZLD V4.16~V5.30 ZLD V4.16~V5.30 ZLD V5.31
ATP series ZLD V4.32~V5.30 ZLD V4.32~V5.30 ZLD V5.31
VPN Series ZLD V4.30~V5.30 ZLD V4.30~V5.30 ZLD V5.31
USG/ZyWALL ZLD V4.09~V4.72 ZLD V4.11~V4.72 ZLD V4.72 week28*

*請與您當地的技術團隊索取最新版本。


如何獲得協助?

如有任何問題,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方Zyxel中文論壇,我們將會提供進一步協助與說明。


致謝

特別感謝下列資安顧問群主動向我們回報此問題:

  • Rapid7 for CVE-2022-30526
  • Maurizio Agazzini (HN Security) in collaboration with SSD Secure Disclosure for CVE-2022-2030

 


修訂記錄

2022-07-19:初始版本