兆勤科技發佈本地權限提升和防火牆驗證目錄遍歷安全漏洞公告
CVE: CVE-2022-30526, CVE-2022-2030
摘要
Zyxel發佈產品遭受本地權限提升和驗證目錄遍歷安全性漏洞的公告。建議用戶安裝最新版本以獲得最佳保護。
什麼是安全漏洞攻擊?
在某些防火牆版本的 CLI 命令中發現了一個權限提升漏洞,該漏洞可能允許本地攻擊者在易受攻擊的設備上的某些目錄中以 root 權限執行某些OS操作系統命令。
在某些防火牆版本的CGI 程式中發現了一個未正確清理 URL 中的特定字符序列引發的身份驗證目錄遍歷漏洞。
受影響的版本及預防措施
經過詳細檢查,我們已針對仍在保固支援期間內受影響的 CVE-2022-30526 和 CVE-2022-2030產品,發佈韌體修補程式,以提供用戶最佳防護。
| 受影響的型號 | 受影響的版本 | 最新修補程式 | |
|---|---|---|---|
| CVE-2022-30526 | CVE-2022-2030 | ||
| USG FLEX 100(W), 200, 500, 700 | ZLD V4.50~V5.30 | ZLD V4.50~V5.30 | ZLD V5.31 |
| USG FLEX 50(W) / USG20(W)-VPN | ZLD V4.16~V5.30 | ZLD V4.16~V5.30 | ZLD V5.31 |
| ATP series | ZLD V4.32~V5.30 | ZLD V4.32~V5.30 | ZLD V5.31 |
| VPN Series | ZLD V4.30~V5.30 | ZLD V4.30~V5.30 | ZLD V5.31 |
| USG/ZyWALL | ZLD V4.09~V4.72 | ZLD V4.11~V4.72 | ZLD V4.72 week28* |
*請與您當地的技術團隊索取最新版本。
如何獲得協助?
如有任何問題,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方Zyxel中文論壇,我們將會提供進一步協助與說明。
致謝
特別感謝下列資安顧問群主動向我們回報此問題:
- Rapid7 for CVE-2022-30526
- Maurizio Agazzini (HN Security) in collaboration with SSD Secure Disclosure for CVE-2022-2030
修訂記錄
2022-07-19:初始版本