SonicWall修補網管軟體指令執行漏洞

網路設備商SonicWall上周（5/27）針對其設備管理軟體上，一個可能讓駭客在裝置上執行指令的重大漏洞，釋出修補程式。

出現問題的是管理SonicWall所有裝置的網路安全管理員（Network Security Manager，NSM）軟體。編號CVE-2021-20026的漏洞是一指令注入漏洞，可能讓經過驗證的攻擊者發出假造的HTTP呼叫，而在作業系統上以根權限執行指令。此一漏洞CVSS 3.1風險評分為8.8。

NSM可以在本地部署或以雲端（SaaS）執行，不過這次漏洞僅影響NSM本地部署版本2.2.0-R10及之前版本。SaaS版則不受影響。

SonicWall已在本周釋出Network Security Manager (NSM) 2.2.1版，也呼籲本地部署NSM的SonicWall企業管理員儘速更新。

這是SonicWall今年以來最新修補的產品漏洞。今年1月22日SonicWall公告小型企業用SSL VPN產品SMA 100系列的漏洞遭駭客發動攻擊，之後則證明受影響裝置涵括MA200、210、400、410實體設備及SMA500v虛擬設備（Azure、AWS、AWS ESXi、HyperV），迫使該公司二度修補。

 參考資料（如需詳細資訊請洽廠商）

影響SonicWall Network Security Manager(NSM) 的CVE-2021-20026官方修補資訊（2021-05-27公告）：https://www.sonicwall.com/support/product-notification/security-advisory...

SMA 100 Series 10.X And 9.X Firmware官方修補資訊（2021-01-22公告、2021-04-29更新）：https://www.sonicwall.com/support/product-notification/additional-sma-10...