2024年6月20日,网上更新披露了一个Zyxel NAS326 和 Zyxel NAS542 命令注入漏洞(CVE-2024-29973),Zyxel NAS542和Zyxel NAS326都是中国合勤(Zyxel)公司的产品。Zyxel NAS542是一款NAS(网络附加存储)设备。Zyxel NAS326是一款云存储 NAS,请各位用户尽快安装漏洞补丁。
漏洞风险:Zyxel NAS326 V5.21(AAZF.17)C0之前版本、NAS542 V5.21(ABAG.14)C0之前版本存在操作系统命令注入漏洞,该漏洞源于setCookie参数中存在命令注入漏洞,从而导致攻击者可通过HTTP POST请求来执行某些操作系统 (OS) 命令。
风险等级:高风险。
影响范围:
1、 NAS326 <= V5.21(AAZF.16)C0
2、 NAS542 <= V5.21(ABAG.13)C0
修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本
进行安全更新方法:
官方补丁下载地址:
https://www.zyxel.com/global/en/support/download?model=nas326
https://download.zyxel.com/NAS542/firmware/521ABAG14C0.zip
