基於本地部署的網路安全管理員(NSM)軟體2.2.0-R10及之前版本,含有指令注入漏洞,SonicWall在5月27日公告,釋出Network Security Manager (NSM) 2.2.1版以修補編號CVE-2021-20026的漏洞,呼籲本地部署NSM的SonicWall企業管理員儘速更新。

網路設備商SonicWall上周(5/27)針對其設備管理軟體上,一個可能讓駭客在裝置上執行指令的重大漏洞,釋出修補程式。

出現問題的是管理SonicWall所有裝置的網路安全管理員(Network Security Manager,NSM)軟體。編號CVE-2021-20026的漏洞是一指令注入漏洞,可能讓經過驗證的攻擊者發出假造的HTTP呼叫,而在作業系統上以根權限執行指令。此一漏洞CVSS 3.1風險評分為8.8。

NSM可以在本地部署或以雲端(SaaS)執行,不過這次漏洞僅影響NSM本地部署版本2.2.0-R10及之前版本。SaaS版則不受影響。

SonicWall已在本周釋出Network Security Manager (NSM) 2.2.1版,也呼籲本地部署NSM的SonicWall企業管理員儘速更新。

這是SonicWall今年以來最新修補的產品漏洞。今年1月22日SonicWall公告小型企業用SSL VPN產品SMA 100系列的漏洞遭駭客發動攻擊,之後則證明受影響裝置涵括MA200、210、400、410實體設備及SMA500v虛擬設備(Azure、AWS、AWS ESXi、HyperV),迫使該公司二度修補

 參考資料(如需詳細資訊請洽廠商)

影響SonicWall Network Security Manager(NSM) 的CVE-2021-20026官方修補資訊(2021-05-27公告):https://www.sonicwall.com/support/product-notification/security-advisory...

SMA 100 Series 10.X And 9.X Firmware官方修補資訊(2021-01-22公告、2021-04-29更新):https://www.sonicwall.com/support/product-notification/additional-sma-10...


熱門新聞

Advertisement