兆勤科技安全漏洞公告:NAS 產品存在操作系統指令注入漏洞

CVE 編號: CVE-2024-6342
摘要

Zyxel 已發布更新檔,以解決兩款已達漏洞支援終止的 NAS 產品中的指令注入漏洞。建議用戶盡速安裝這些更新檔以獲得最佳保護。

安全漏洞產生哪些狀況?

CVE-2024-6342

**產品在漏洞被指派修補時已經不再支援**

Zyxel NAS326 和 NAS542 設備的 export-cgi 程式中存在指令注入漏洞,未經身份驗證的攻擊者可透過發送HTTP POST 請求執行部分操作系統 (OS) 指令。

哪些版本可能受到攻擊,應該怎麼做?

由於 CVE-2024-6342 漏洞的嚴重性,儘管相關產品已達到漏洞支援終止階段,兆勤科技仍向享有延長支援的客戶提供更新檔,具體詳情請參見下表*。


受影響的型號 受影響的版本 最新修補程式
NAS326 V5.21(AAZF.18)C0 和更早的版本 V5.21(AAZF.18)Hotfix-01
NAS542 V5.21(ABAG.15)C0 和更早的版本 V5.21(ABAG.15)Hotfix-01

*NAS326 和 NAS542 兩款產品的漏洞支援已於 2023 年 12 月 31 日終止。

如何獲得協助?

如有任何問題,請聯繫 Zyxel 經銷商、Zyxel 技術團隊(0800-500-550),或至官方 Zyxel 中文論壇,我們將會提供進一步協助與說明。

致謝

感謝 VARAS@IIE 的 Nanyu Zhong 和 Jinwei Dong 向我們回報此問題。

修訂記錄

2024-9-10:初始版本