CRITICAL✓ PATCH🇬🇧 English

CVE-2024-29973

Command injection w parametrze setCookie urządzeń Zyxel NAS326/NAS542

CVSS 9.8v3.1pub. 2024-06-04upd. 2025-01-22

Podatność typu command injection w parametrze "setCookie" oprogramowania Zyxel NAS326 i NAS542 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie poleceń systemu operacyjnego. Wysoka ocena CVSS 9.8 (CRITICAL) oraz brak wymogu uwierzytelnienia czynią tę lukę wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

** UNSUPPORTED WHEN ASSIGNED ** The command injection vulnerability in the “setCookie” parameter in Zyxel NAS326 firmware versions before V5.21(AAZF.17)C0 and NAS542 firmware versions before V5.21(ABAG.14)C0 could allow an unauthenticated attacker to execute some operating system (OS) commands by sending a crafted HTTP POST request.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie HTTP POST zawierające złośliwy payload w parametrze "setCookie". Firmware urządzenia nie weryfikuje prawidłowo przekazanych danych, co skutkuje ich bezpośrednim przekazaniem do interpretera poleceń systemu operacyjnego (CWE-78). Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika, a całość może być przeprowadzona zdalnie przez sieć.

Skutki

Atakujący może zdalnie wykonać dowolne polecenia systemu operacyjnego na podatnym urządzeniu NAS, co w konsekwencji może prowadzić do pełnego przejęcia kontroli nad urządzeniem, wycieku przechowywanych danych lub naruszenia integralności systemu.

Mitygacja

Należy zaktualizować firmware Zyxel NAS326 do wersji V5.21(AAZF.17)C0 lub nowszej oraz Zyxel NAS542 do wersji V5.21(ABAG.14)C0 lub nowszej zgodnie z zaleceniami producenta. Ze względu na status urządzeń jako niewspieranych zaleca się rozważenie ich wymiany na aktualnie wspierane modele oraz ograniczenie dostępu do interfejsu zarządzania urządzeniem wyłącznie do zaufanych sieci lub adresów IP.

Kogo dotyczy

Zyxel NAS326 z firmware w wersjach wcześniejszych niż V5.21(AAZF.17)C0 oraz Zyxel NAS542 z firmware w wersjach wcześniejszych niż V5.21(ABAG.14)C0. Producent oznaczył produkty jako niewspierane w momencie przypisania CVE (UNSUPPORTED WHEN ASSIGNED).

Uwagi

Producent oznaczył podatne produkty jako niewspierane (UNSUPPORTED WHEN ASSIGNED) w momencie przypisania CVE, co oznacza że mogą nie otrzymywać dalszych aktualizacji bezpieczeństwa. Szczegółowy opis techniczny podatności dostępny jest w raporcie badaczy z Outpost24.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Zyxel Nas326

    HW
    Zyxel
    wszystkie wersje
  • Zyxel Nas326 Firmware

    OS
    Zyxel
    < 5.21\(aazf.17\)c0
  • Zyxel Nas542

    HW
    Zyxel
    wszystkie wersje
  • Zyxel Nas542 Firmware

    OS
    Zyxel
    < 5.21\(abag.14\)c0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2023-27992CRITICAL9.8⚠ KEVten sam produkt

The pre-authentication command injection vulnerability in the Zyxel NAS326 firmware versions prior to V5.21(AA...

CVE-2020-9054CRITICAL9.8⚠ KEVten sam produkt

Multiple ZyXEL network-attached storage (NAS) devices running firmware version 5.21 contain a pre-authenticati...

CVE-2024-6342CRITICAL9.8PL ✓ten sam produkt

Command injection w Zyxel NAS326/NAS542 — zdalne wykonanie poleceń OS

CVE-2024-29974CRITICAL9.8PL ✓ten sam produkt

RCE w Zyxel NAS326/NAS542 — nieuwierzytelnione wykonanie kodu przez upload pliku

CVE-2024-29972CRITICAL9.8PL ✓ten sam produkt

Command injection w Zyxel NAS326/NAS542 — nieuwierzytelnione RCE