漏洞名称:
Zyxel防火墙命令注入漏洞
组件名称:
Zyxel防火墙
影响范围:
ATP系列固件:5.10-5.21 Patch 1
VPN系列固件:4.60-5.21 Patch 1
USG FLEX 100(W)、200、500、700:5.00-5.21 Patch 1
USG FLEX 50(W)/USG20(W)-VPN:5.10-5.21 Patch 1
漏洞类型:
命令注入
利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
ZyXEL USG FLEX 等都是中国台湾合勤(ZyXEL)公司的防火墙产品。
该漏洞存在于某些Zyxel防火墙版本的 CGI 程序中,允许在未经身份验证的情况下在受影响设备上以nobody用户身份执行任意命令。
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:ZLD V5.30。下载链接如下:
https://www.zyxel.com/support/download_landing.shtml
禁用对受影响产品的管理Web界面的 WAN 访问。
云科攻防实验室拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经云科攻防实验室允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
原文始发于微信公众号(云科攻防实验室):【漏洞通告】Zyxel防火墙命令注入漏洞(CVE-2022-30525)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论