Marcus1337
VIP Members
-
01/04/2021
-
62
-
76 bài viết
Zyxel vá lỗ hổng nghiêm trọng trên các thiết bị NAS
Zyxel vừa khắc phục một lỗ hổng nghiêm trọng trong các thiết bị lưu trữ được kết nối mạng (NAS). Lỗ hổng này có thể dẫn đến việc thực thi các lệnh tùy ý trên các hệ thống bị ảnh hưởng.
Ổ cứng NAS (Network Attached Storage) là thiết bị lưu trữ được gắn vào thiết bị mạng, nhằm lưu trữ toàn bộ các file mà bạn có thể truy cập dễ dàng ở bất cứ nơi nào cũng như từ mọi thiết bị như smartphone, laptop, và PC. NAS có thể kết nối với mạng gia đình hoặc văn phòng, cung cấp đủ không gian cho các máy khách mạng được ủy quyền để lưu trữ và truy xuất tất cả các loại dữ liệu không dây từ một vị trí tập trung.
Lỗ hổng CVE-2023-27992 (điểm CVSS: 9.8) là lỗi pre-authentication cho phép chèn và thực thi các lệnh hệ thống (Command Injection). Zyxel cho biết: “Việc tiêm câu lệnh trước khi đăng nhập trong một số thiết bị NAS của Zyxel có thể cho phép kẻ tấn công chưa xác thực thực thi một số lệnh hệ điều hành từ xa bằng cách gửi một yêu cầu HTTP tự tạo."
Danh sách các phiên bản bị ảnh hưởng bởi lỗ hổng CVE-2023-27992:
Lỗ hổng CVE-2023-27992 (điểm CVSS: 9.8) là lỗi pre-authentication cho phép chèn và thực thi các lệnh hệ thống (Command Injection). Zyxel cho biết: “Việc tiêm câu lệnh trước khi đăng nhập trong một số thiết bị NAS của Zyxel có thể cho phép kẻ tấn công chưa xác thực thực thi một số lệnh hệ điều hành từ xa bằng cách gửi một yêu cầu HTTP tự tạo."
Danh sách các phiên bản bị ảnh hưởng bởi lỗ hổng CVE-2023-27992:
- Phiên bản trước NAS326 (V5.21(AAZF.13)C0, được vá trong V5.21(AAZF.14)C0)
- Phiên bản trước NAS540 (V5.21(AATB.10)C0, được vá trong V5.21(AATB.11)C0)
- Phiên bản trước NAS542 (V5.21(ABAG.10)C0, được vá trong V5.21(ABAG.11)C0)
Chỉnh sửa lần cuối bởi người điều hành: