01
漏洞描述
Zyxel通信公司(中文:合勤科技)是一家网络设备制造商。Zyxel与全球网络设备供应商、电信公司、ISP和其他中小型企业合作。除了作为ISP和系统集成商的OEM,该公司还直接向企业和消费者销售Zyxel品牌的产品。合勤科技正在不断扩展网络接入产品和服务的范围,同时正在为许多领域建立新的应用。多年来合勤科技持续投入通讯网路设备的研发,不断推出领先趋势的产品,为客户与合作伙伴提供更迅速、更有效率的服务。
近期,Zyxel发布其产品存在身份验证绕过漏洞(CVE-2022-0342)。漏洞详情透露出,在部分防火墙版本的CGI程序中发现了一个因缺乏合理控制的访问机制,从而导致身份验证绕过漏洞。该漏洞可能允许攻击者绕过身份验证并获得设备的管理访问权限。
02
漏洞危害
攻击者可利用在防火墙中的 CGI 程序,其中存在一个因缺少适当访问控制机制的问题,从而导致绕过身份验证。绕过安全认证,非法获取设备的访问权限。与认证和会话管理相关的应用程序功能往往得不到正确实施,导致了攻击者可以破坏密码,密钥,会话令牌,可以冒充其他用户身份。
03
影响范围
USG/ZyWALL < ZLD V4.71
Zyxel USG FLEX < ZLD V5.21 Patch 1
Zyxel ATP < ZLD V5.21 Patch 1
Zyxel VPN < ZLD V5.21
Zyxel NSG < V1.33p4_WK11*
04
漏洞等级
高危
05
修复方案
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。引用:
https://www.zyxel.com/support/Zyxel-security-advisory-for-authentication-bypass-vulnerability-of-firewalls.shtml
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Zyxel 身份验证绕过漏洞(CVE-2022-0342)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论