Krytyczna podatność RCE w programie CGI 'file_upload-cgi' urządzeń Zyxel NAS326 i NAS542 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Szczególną wagę podatności podkreśla fakt, że dotyczy ona urządzeń oznaczonych przez producenta jako niewspierane.
▸ Pokaż oryginał (EN)
** UNSUPPORTED WHEN ASSIGNED ** The remote code execution vulnerability in the CGI program “file_upload-cgi” in Zyxel NAS326 firmware versions before V5.21(AAZF.17)C0 and NAS542 firmware versions before V5.21(ABAG.14)C0 could allow an unauthenticated attacker to execute arbitrary code by uploading a crafted configuration file to a vulnerable device.
Podatność (CWE-434 — unrestricted upload of file with dangerous type) tkwi w programie CGI 'file_upload-cgi' obsługującym przesyłanie plików konfiguracyjnych. Atakujący bez żadnego uwierzytelnienia może przesłać spreparowany plik konfiguracyjny na podatne urządzenie dostępne przez sieć. Brak odpowiedniej weryfikacji przesyłanego pliku pozwala na wykonanie zawartego w nim złośliwego kodu po stronie urządzenia.
Atakujący uzyskuje możliwość wykonania dowolnego kodu na podatnym urządzeniu z poziomu sieci, bez konieczności posiadania jakichkolwiek poświadczeń, co może prowadzić do pełnego przejęcia kontroli nad urządzeniem NAS wraz z przechowywanymi danymi.
Należy zaktualizować firmware Zyxel NAS326 do wersji V5.21(AAZF.17)C0 lub nowszej, a Zyxel NAS542 do wersji V5.21(ABAG.14)C0 lub nowszej. Ze względu na status urządzeń jako niewspieranych przez producenta, zaleca się rozważenie wymiany sprzętu na aktywnie wspierany model. Do czasu zastosowania patcha należy ograniczyć dostęp sieciowy do interfejsu zarządzania urządzenia — szczególnie zablokować ekspozycję na publiczny internet.
Zyxel NAS326 z firmware w wersji przed V5.21(AAZF.17)C0 oraz Zyxel NAS542 z firmware w wersji przed V5.21(ABAG.14)C0. Producent oznaczył te urządzenia jako niewspierane (UNSUPPORTED) w momencie przypisania podatności.
Producent oznaczył urządzenia NAS326 i NAS542 jako niewspierane (end-of-support) w chwili zgłoszenia podatności. Pomimo tego zostały wydane patche bezpieczeństwa. Podatność została ujawniona 04.06.2024 we wspólnym komunikacie Zyxel i firmy Outpost24.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HZyxel Nas326
HWZyxelwszystkie wersjeZyxel Nas326 Firmware
OSZyxel< 5.21\(aazf.17\)c0Zyxel Nas542
HWZyxelwszystkie wersjeZyxel Nas542 Firmware
OSZyxel< 5.21\(abag.14\)c0
Powiązane podatności
The pre-authentication command injection vulnerability in the Zyxel NAS326 firmware versions prior to V5.21(AA...
Multiple ZyXEL network-attached storage (NAS) devices running firmware version 5.21 contain a pre-authenticati...
Command injection w Zyxel NAS326/NAS542 — zdalne wykonanie poleceń OS
Command injection w parametrze setCookie urządzeń Zyxel NAS326/NAS542
Command injection w Zyxel NAS326/NAS542 — nieuwierzytelnione RCE