Zyxel 針對 NAS 產品中的身份驗證後命令注入漏洞的安全公告
CVE: CVE-2023-5372
摘要
Zyxel 已發布修補程式來解決某些 NAS 版本中的驗證後命令注入漏洞。 建議用戶安裝它們以獲得最佳保護。
有哪些安全漏洞?
某些Zyxel NAS 設備中的身份驗證後命令注入漏洞可能允許具有管理員權限的經過身份驗證的攻擊者透過發送附加到受影響設備Web 管理介面URL 的精心設計的查詢參數來執行某些作業系統( OS) 指令。
哪些版本容易受到攻擊—您應該怎麼應對?
經過徹底調查後,我們已經確定了在發布問題報告時受影響的產品*,並提供了下表中概述的韌體補丁。
| 受影響的型號 | 受影響的版本 | 最新修補程式 |
|---|---|---|
| NAS326 | V5.21(AAZF.15)C0 and earlier | V5.21(AAZF.16)C0 |
| NAS542 | V5.21(ABAG.12)C0 and earlier | V5.21(ABAG.13)C0 |
如何獲得協助?
如有任何問題,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方Zyxel中文論壇,我們將會提供進一步協助與說明。
致謝
感謝 BugProve 的 Gábor Selján 向我們報告這個問題。
修訂記錄
2024 年 1 月 30 日:首次發布。