台湾网络设备供应商赛科斯(Zyxel)在其防火墙和接入点中解决了四个漏洞,分别被跟踪为CVE-2023-6397、CVE-2023-6398、CVE-2023-6399和CVE-2023-6764。这些漏洞可被威胁行为者利用来进行命令注入和拒绝服务攻击,并实现远程代码执行。以下是公司解决的漏洞列表:
CVE-2023-6397:一些防火墙版本中的空指针解引用漏洞可能允许基于局域网的攻击者通过在启用“反恶意软件”功能的防火墙上下载经过精心制作的RAR压缩文件到局域网端主机,从而导致拒绝服务(DoS)条件。
CVE-2023-6398:某些防火墙和接入点版本中文件上传二进制文件的身份验证后命令注入漏洞可能允许具有管理员权限的经过身份验证的攻击者通过FTP在受影响设备上执行一些操作系统(OS)命令。
CVE-2023-6399:一些防火墙版本中的格式化字符串漏洞可能允许经过身份验证的IPSec VPN用户通过向受影响设备发送经过精心制作的主机名来针对“deviceid”守护程序造成DoS条件,如果设备启用了“Device Insight”功能。
CVE-2023-6764:某些防火墙版本中IPSec VPN功能中的一个函数中的格式化字符串漏洞可能允许攻击者通过发送一系列包含无效指针的特制负载来实现未经授权的远程代码执行;然而,这样的攻击需要对受影响设备的内存布局和配置有详细了解。
以下是受影响设备的列表:
这家台湾供应商对TRAPA Security的Lays和atdog报告了这些漏洞,并表示感谢。建议客户尽快安装安全补丁。
原文始发于微信公众号(黑猫安全):ZYXEL修复了防火墙和接入点中的四个漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论