兆勤科技防火牆 XSS 漏洞和認證後命令注入安全漏洞公告
CVE編號: CVE-2023-27990, CVE-2023-27991
摘要
Zyxel 已經發布了一些受跨站攻擊(XSS) 漏洞和身份驗證後命令注入安全漏洞所影響的防火牆問題。建議用戶安裝更新修補程式以獲得最佳保護。
什麼是安全漏洞攻擊?
CVE-2023-27990
某些防火牆版本中的 XSS 漏洞可能允許經過身份驗證且具管理員權限的攻擊者, 將惡意網頁程式碼植入在易受攻擊的設備中。當用戶訪問設備上 GUI 的日誌頁面時,XSS有可能攻擊成功並導致植入的惡意網頁程式碼被執行。
受影響的版本及預防措施?
經過詳細的檢查,我們已針對下列表格中仍在漏洞支援期間內受影響的產品發佈最新修補漏洞程式,以提供用戶最佳防護。
| 受影響的系列 | 受影響的版本 | 最新修補程式 |
|---|---|---|
| ATP | ZLD V4.32~V5.35 | ZLD V5.36 |
| USG FLEX | ZLD V4.50~V5.35 | ZLD V5.36 |
| USG FLEX 50(W) / USG20(W)-VPN | ZLD V4.16~V5.35 | ZLD V5.36 |
| VPN | ZLD V4.30~V5.35 | ZLD V5.36 |
如何獲得協助?
如有任何問題,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方Zyxel中文論壇,我們將會提供進一步協助與說明。
致謝
特別感謝Tecnical Service SRL的Alessandro Sgreccia主動向我們回報此問題。
修訂記錄
2023-4-25: 初始版本