聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
合勤NAS 系统用于在网络的一个中心位置存储数据,旨在为大量数据服务并提供多种特性如数据备份、媒体流或自定义共享选项。常见的合勤 NAS 用户包括寻求结合数据管理、远程工作和协作特性的中小型企业以及设置数据冗余系统的IT专业人员或者处理大量文件的摄影师和数字艺术家。
合勤发布安全通告提醒称,在运行 5.21 (AAZF.14)Co 及早期版本的NAS326以及运行5.21 (ABAG.11)Co及早期版本的 NAS542 中存在多个漏洞,如下:
CVE-2023-35137:Zyxel NAS 设备的认证模块中存在一个认证不当漏洞,可导致未认证攻击者通过构造URL获取系统信息(高危,评分7.5)
CVE-2023-35138:Zyxel NAS 设备的“show_zysync_server_contents”函数中存在命令注入漏洞,可导致未认证攻击者通过构造的 HTTP POST 请求执行OS 命令(严重,评分9.8)
CVE-2023-37927:Zyxel NAS 设备的CGI 计划中存在该漏洞,可使认证攻击者通过构造URL 执行OS命令(高危,评分8.8)
CVE-2023-37928:Zyxel NAS 设备的WSGI 服务器中存在认证后命令注入漏洞,可导致认证攻击者通过构造的URL 执行OS命令(高危,评分8.8)
CVE-2023-4473:Zyxel NAS 设备的web服务器中存在命令注入漏洞,可导致未认证攻击者通过构造URL 执行OS 命令(严重,评分9.8)
CVE-2023-4474:Zyxel NAS 设备的 WSGI 服务器中存在该漏洞,可导致未认证攻击者通过构造URL 执行OS命令(严重,评分9.8)
威胁行动者可利用如上漏洞获得越权访问权限、执行某些操作系统命令、获得敏感信息或者完全控制受影响的 Zyxel NAS 设备。
建议 NAS326 用户更新至 V5.21(AAZF.15) Co 或后续版本。NAS542应将固件升级至V5.21(ABAG.12)Co 或后续版本,修复这些漏洞。
合勤并未提供缓解措施或应变措施,因此固件更新即是推荐方案。
https://www.bleepingcomputer.com/news/security/zyxel-warns-of-multiple-critical-vulnerabilities-in-nas-devices/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh