漏洞名称:
Zyxel防火墙命令注入漏洞
组件名称:
Zyxel防火墙
影响范围:
ATP系列固件:5.10-5.21 Patch 1
VPN系列固件:4.60-5.21 Patch 1
USG FLEX 100(W)、200、500、700:5.00-5.21 Patch 1
USG FLEX 50(W)/USG20(W)-VPN:5.10-5.21 Patch 1
漏洞类型:
命令注入
利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
ZyXEL USG FLEX 等都是中国台湾合勤(ZyXEL)公司的防火墙产品。
该漏洞存在于某些Zyxel防火墙版本的 CGI 程序中,允许在未经身份验证的情况下在受影响设备上以nobody用户身份执行任意命令。
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:ZLD V5.30。下载链接如下:
https://www.zyxel.com/support/download_landing.shtml
禁用对受影响产品的管理Web界面的 WAN 访问。
云科攻防实验室拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经云科攻防实验室允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
原文始发于微信公众号(云科攻防实验室):【漏洞通告】Zyxel防火墙命令注入漏洞(CVE-2022-30525)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论