Af Eskil Sørensen, 21/06/23
Zyxel, som producerer netværksudstyr, har udgivet en opdatering til en kritisk sikkerhedsfejl i sine NAS-produkter. Det skriver Bleeping Computer m.fl. med henvisning til en advisory fra Zyxel.
Der er tale om en rettelse til en sårbarhed, der kan give en ikke-autentificeret angriber mulighed for eksternt at afvikle kommandoer på ramte enheder, såkaldt command injection-attacks via specielt konstruerede http requests.
Fejlen har id’et CVE-2023-27992 og en CVSS-score på 9.8
De berørte produkter er
- NAS326 v5.21(AAZF.13)C0 og tidligere versioner
- NAS540 v5.21(AATB.10)C0 og tidligere versioner
- NAS542 v5.21(ABAG.10)C0 og tidligere versioner
Zyxel anbefaler sine kunder at installere nyeste sikkerhedsopdatering.
Links:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-securi...
https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-c...
https://www.helpnetsecurity.com/2023/06/20/cve-2023-27992/
https://thehackernews.com/2023/06/zyxel-releases-urgent-security-updates...
https://securityaffairs.com/147653/hacking/zyxel-cve-2023-27992-nas-devi...