Zyxel 修复了 EOL NAS 设备中的关键命令注入漏洞(CVE-2024-6342)

阅读量51140

发布时间 : 2024-09-12 14:53:50

x
译文声明

本文是翻译文章,文章原作者 Zeljka Zorz,文章来源:HELPNETSECURITY

原文地址:https://www.helpnetsecurity.com/2024/09/10/cve-2024-6342/

译文仅供参考,具体内容表达以及含义原文为准。

敦促 Zyxel 网络附加存储 (NAS) 设备的用户实施修补程序,以解决一个关键且容易被利用的命令注入漏洞 (CVE-2024-6342)。

漏洞:CVE-2024-6342

关于 CVE-2024-6342

合勤科技 NAS 设备通常被中小型企业 (SMB) 用于数据存储和备份。

CVE-2024-6342 – 由 Nanyu Zhong 和 Jinwei Dong 从 VARAS@IIE 报告 – 是合勤 NAS326 和 NAS542 设备的 export-cgi 程序中的一个漏洞,可由未经身份验证的攻击者通过特制的 HTTP POST 请求触发,并可能允许他们执行某些操作系统命令。

“由于漏洞的严重性,Zyxel 已向客户提供热修复,如下表所示,尽管这些产品已经达到漏洞终止支持,”该公司表示。

Zyxel 没有说明该漏洞是否正在被积极利用,但敦促用户安装修补程序“以获得最佳保护”。

NAS 设备是网络犯罪分子的诱人目标。今年早些时候,发现了一个类似 Mirai 的僵尸网络,试图利用另一个命令注入漏洞 (CVE-2024-29973),合勤科技已在这些相同的停产 NAS 设备中修复了该漏洞。

本文翻译自HELPNETSECURITY 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66