CVEs 編號:CVE-2024-29972, CVE-2024-29973, CVE-2024-29974, CVE-2024-29975, CVE-2024-29976
摘要
Zyxel 已釋出修補程式,以解決兩款已達漏洞支援終止的 NAS 產品中的指令輸入和遠程代碼執行漏洞。建議用戶安裝這些修補程式以獲得最佳保護。
有哪些安全漏洞攻擊?
CVE-2024-29972
**被指派時不支援**
Zyxel NAS326 和 NAS542 設備中的 CGI 程序 “remote_help-cgi” 存在指令輸入漏洞,可能允許未經身份驗證的攻擊者通過發送特製的 HTTP POST 請求執行一些操作系統命令。
CVE-2024-29973
**被指派時不支援**
Zyxel NAS326 和 NAS542 設備中的 “setCookie” 參數存在指令輸入漏洞,可能允許未經身份驗證的攻擊者通過發送特製的 HTTP POST 請求執行一些操作系統命令。
CVE-2024-29974
**被指派時不支援**
Zyxel NAS326 和 NAS542 設備中的 CGI 程序 “file_upload-cgi” 存在遠程代碼執行漏洞,可能允許未經身份驗證的攻擊者通過上傳特製的配置文件到易受攻擊的設備來執行任意代碼。
CVE-2024-29975
**被指派時不支援**
Zyxel NAS326 和 NAS542 設備中的 SUID 可執行二進制文件存在不當特權管理漏洞,可能允許具有管理員權限的本地認證攻擊者在易受攻擊的設備上以 “root” 用戶身份執行一些系統命令。
CVE-2024-29976
**被指派時不支援**
Zyxel NAS326 和 NAS542 設備中的 “show_allsessions” 命令存在不當特權管理漏洞,可能允許經過身份驗證的攻擊者獲取受影響設備上已登錄管理員的會話訊息,包含 cookies。
哪些版本容易受到攻擊—您應該怎麼應對?
由於漏洞 CVE-2024-29972、CVE-2024-29973 和 CVE-2024-29974 的嚴重性,儘管這些產品已達漏洞支援終止*,Zyxel 已為擁有延長支持援客戶提供了修補程式,如下表所示。
|
受影響型號 |
受影響版本 |
最新修補程式 |
|
NAS326 |
V5.21(AAZF.16)C0 和更早的版本 |
|
|
NAS542 |
V5.21(ABAG.13)C0 和更早的版本 |
*NAS326 和 NAS542 這兩款產品已於 2023 年 12 月 31 日達到漏洞支援終止。
修訂記錄
2024-6-4: 初始版本。
由以下連結連入Zyxel 資料下載頁面,搜尋所需韌體:
https://www.zyxel.com/tw/zh/support/download
或由以下連結連入官方 Zyxel中文論壇 提問與討論:
https://community.zyxel.com/tw
以上,謝謝收看!!
Leave a Reply