【漏洞预警】Zyxel 身份验证绕过漏洞(CVE-2022-0342)

admin 2022年4月1日22:03:22安全漏洞评论114 views809字阅读2分41秒阅读模式

 01


漏洞描述





Zyxel通信公司(中文:合勤科技)是一家网络设备制造商。Zyxel与全球网络设备供应商、电信公司、ISP和其他中小型企业合作。除了作为ISP和系统集成商的OEM,该公司还直接向企业和消费者销售Zyxel品牌的产品。合勤科技正在不断扩展网络接入产品和服务的范围,同时正在为许多领域建立新的应用。多年来合勤科技持续投入通讯网路设备的研发,不断推出领先趋势的产品,为客户与合作伙伴提供更迅速、更有效率的服务。
近期,Zyxel发布其产品存在身份验证绕过漏洞(CVE-2022-0342)。漏洞详情透露出,在部分防火墙版本的CGI程序中发现了一个因缺乏合理控制的访问机制,从而导致身份验证绕过漏洞。该漏洞可能允许攻击者绕过身份验证并获得设备的管理访问权限。


 02

漏洞危害



攻击者可利用在防火墙中的 CGI 程序,其中存在一个因缺少适当访问控制机制的问题,从而导致绕过身份验证。
绕过安全认证,非法获取设备的访问权限。与认证和会话管理相关的应用程序功能往往得不到正确实施,导致了攻击者可以破坏密码,密钥,会话令牌,可以冒充其他用户身份。

 03

影响范围






USG/ZyWALL < ZLD V4.71

Zyxel USG FLEX < ZLD V5.21 Patch 1

Zyxel ATP < ZLD V5.21 Patch 1

Zyxel VPN < ZLD V5.21

Zyxel NSG < V1.33p4_WK11*


04

漏洞等级

   

   高危


 05

修复方案


厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
引用:
https://www.zyxel.com/support/Zyxel-security-advisory-for-authentication-bypass-vulnerability-of-firewalls.shtml














END

长按识别二维码,了解更多


【漏洞预警】Zyxel 身份验证绕过漏洞(CVE-2022-0342)


原文始发于微信公众号(易东安全研究院):【漏洞预警】Zyxel 身份验证绕过漏洞(CVE-2022-0342)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月1日22:03:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】Zyxel 身份验证绕过漏洞(CVE-2022-0342) http://cn-sec.com/archives/863121.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: