兆勤科技安全漏洞公告:NAS 產品存在操作系統指令注入漏洞
CVE 編號: CVE-2024-6342
摘要
Zyxel 已發布更新檔,以解決兩款已達漏洞支援終止的 NAS 產品中的指令注入漏洞。建議用戶盡速安裝這些更新檔以獲得最佳保護。
安全漏洞產生哪些狀況?
CVE-2024-6342
**產品在漏洞被指派修補時已經不再支援**
Zyxel NAS326 和 NAS542 設備的 export-cgi 程式中存在指令注入漏洞,未經身份驗證的攻擊者可透過發送HTTP POST 請求執行部分操作系統 (OS) 指令。
哪些版本可能受到攻擊,應該怎麼做?
由於 CVE-2024-6342 漏洞的嚴重性,儘管相關產品已達到漏洞支援終止階段,兆勤科技仍向享有延長支援的客戶提供更新檔,具體詳情請參見下表*。
受影響的型號 | 受影響的版本 | 最新修補程式 |
---|---|---|
NAS326 | V5.21(AAZF.18)C0 和更早的版本 | V5.21(AAZF.18)Hotfix-01 |
NAS542 | V5.21(ABAG.15)C0 和更早的版本 | V5.21(ABAG.15)Hotfix-01 |
*NAS326 和 NAS542 兩款產品的漏洞支援已於 2023 年 12 月 31 日終止。
如何獲得協助?
如有任何問題,請聯繫 Zyxel 經銷商、Zyxel 技術團隊(0800-500-550),或至官方 Zyxel 中文論壇,我們將會提供進一步協助與說明。
致謝
感謝 VARAS@IIE 的 Nanyu Zhong 和 Jinwei Dong 向我們回報此問題。
修訂記錄
2024-9-10:初始版本