合勤(Zyxel)本周公布安全公告,通知客戶影響其不同產品線的5項漏洞,呼籲用戶儘速更新韌體。

這5項漏洞是由Positive Technologies發現並通報,涵括3項緩衝溢位、指令注入,以及驗證不當漏洞各1項。而在3項緩衝溢位漏洞中,CVE-2022-43389影響NR7101韌體中的Web伺服器函式庫,可讓未經授權的攻擊者以惡意HTTP呼叫執行OS指令或造成阻斷服務(Denial of Service,DoS)攻擊。CVE-2022-43391和CVE-2022-43392則是影響NR7101同一韌體的CGI程式參數,經過驗證的攻擊者可傳送惡意HTTP呼叫,造成DoS攻擊。

3項漏洞以CVE-2022-43389風險最高,達9.8分。CVE-2022-43391及CVE-2022-43392則各為6.5分。

一項指令注入漏洞是CVE-2022-43390,也是出現在NR7101韌體CGI程式上,獲驗證的攻擊者可傳送惡意HTTP呼叫而在OS上執行指令。驗證不當漏洞則是2022-43393,出在Zyxel GS1920-24v2韌體HTTP呼叫處理函式對特殊或例外條件檢測不當,造成未經授權攻擊者傳送惡意HTTP呼叫,引發記憶體毁損及DoS攻擊。

CVE-2022-43390及CVE-2022-43393也都是重大漏洞,風險值各為8.8分及8.2分。

合勤指出,CVE-2022-43389及CVE-2022-43392影響其CPE、光纖ONT和WiFi延伸器,而CVE-2022-43393影響的是兆勤科技交換器。合勤已釋出更新版韌體,呼籲用戶儘速更新。

熱門新聞

Advertisement