嚴重 | Zyxel防火墻命令注入漏洞
VSole2022-05-13 15:03:11
0x01
漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 公開 公開 未知 未知 |
0x02
漏洞描述
ZyXEL USG FLEX 等都是中國臺灣合勤(ZyXEL)公司的防火墻產品。
2022年5月12日, Zyxel發布安全公告,修復了一個存在于部分防火墻版本的CGI程序中的命令注入漏洞。漏洞編號:CVE-2022-30525,漏洞威脅等級:嚴重,漏洞評分:9.8。
Zyxel 防火墻中的命令注入漏洞
Zyxel 防火墻中的命令注入漏洞 漏洞編號 CVE-2022-30525 漏洞類型 命令注入 漏洞等級 嚴重(9.8) 公開狀態 公開 在野利用 未知 漏洞描述 該漏洞存在于某些Zyxel防火墻版本的 CGI 程序中,允許在未經身份驗證的情況下在受影響設備上以nobody用戶身份執行任意命令。 |
0x03
漏洞等級
嚴重(9.8)
0x04
影響版本
ATP系列固件:5.10-5.21 Patch 1
VPN系列固件:4.60-5.21 Patch 1
USG FLEX 100(W)、200、500、700:5.00-5.21 Patch 1
USG FLEX 50(W)/USG20(W)-VPN:5.10-5.21 Patch 1
0x05
修復建議
臨時防護方案
禁用對受影響產品的管理Web界面的 WAN 訪問。
正式防護方案
廠商已發布補丁修復漏洞,用戶請盡快更新至安全版本:ZLD V5.30。下載鏈接如下:
https://www.zyxel.com/support/download_landing.shtml
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
VSole
網絡安全專家