自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

盡快更新!Zyxel 路由器曝出 OS 命令注入漏洞,影響多個(gè)版本

作者:小薯?xiàng)l
安全
該漏洞被追蹤為 CVE-2024-7261,CVSS v3 得分為 9.8,是一個(gè)輸入驗(yàn)證故障,由用戶提供的數(shù)據(jù)處理不當(dāng)引起,允許遠(yuǎn)程攻擊者在主機(jī)操作系統(tǒng)上執(zhí)行任意命令。

近日,Zyxel 發(fā)布安全更新,以解決影響其多款商用路由器的關(guān)鍵漏洞,該漏洞可能允許未經(jīng)認(rèn)證的攻擊者執(zhí)行操作系統(tǒng)命令注入。

該漏洞被追蹤為 CVE-2024-7261,CVSS v3 得分為 9.8,是一個(gè)輸入驗(yàn)證故障,由用戶提供的數(shù)據(jù)處理不當(dāng)引起,允許遠(yuǎn)程攻擊者在主機(jī)操作系統(tǒng)上執(zhí)行任意命令。

Zyxel 警告稱某些 AP 和安全路由器版本的 CGI 程序?qū)?shù) “host ”中特殊元素的中和不當(dāng),可能允許未經(jīng)認(rèn)證的攻擊者通過向有漏洞的設(shè)備發(fā)送偽造的 cookie 來執(zhí)行操作系統(tǒng)命令。

受 CVE-2024-7261 影響的 Zyxel 接入點(diǎn) (AP) 如下:

  • NWA 系列: NWA50AX、NWA50AX PRO、NWA55AXE、NWA90AX、NWA90AX PRO、NWA110AX、NWA130BE、NWA210AX、NWA220AX-6E | 7.00 之前的所有版本都存在漏洞,請(qǐng)升級(jí)至 7.00(ABYW.2) 及更高版本、NWA1123-AC PRO | 6.28 之前的所有版本易受攻擊,請(qǐng)升級(jí)至 6.28(ABHD.3) 及更高版本、NWA1123ACv3、WAC500、WAC500H | 6.70 之前的所有版本易受攻擊,請(qǐng)升級(jí)至 6.70(ABVT.5) 及更高版本
  • WAC 系列: WAC6103D-I、WAC6502D-S、WAC6503D-S、WAC6552D-S、WAC6553D-E | 6.28 之前的所有版本易受攻擊,請(qǐng)升級(jí)至 6.28(AAXH.3) 及更高版本
  • WAX 系列: WAX300H、WAX510D、WAX610D、WAX620D-6E、WAX630S、WAX640S-6E、WAX650S、WAX655E | 7.00 之前的所有版本都存在漏洞,請(qǐng)升級(jí)至 7.00(ACHF.2) 及更高版本。
  • WBE 系列: WBE530、WBE660S | 7.00 之前的所有版本都存在漏洞,請(qǐng)升級(jí)至 7.00(ACLE.2) 及更高版本

Zyxel 表示,運(yùn)行 V2.00(ACIP.2)的安全路由器 USG LITE 60AX 也受影響,但該型號(hào)已通過云自動(dòng)更新到 V2.00(ACIP.3),其中實(shí)施了 CVE-2024-7261 的修補(bǔ)程序。

更多 Zyxel 修復(fù)

Zyxel 還針對(duì) APT 和 USG FLEX 防火墻中的多個(gè)高嚴(yán)重性缺陷發(fā)布了安全更新。摘要如下:

  • CVE-2024-6343:CGI 程序中的緩沖區(qū)溢出可能導(dǎo)致通過身份驗(yàn)證的管理員發(fā)送偽造的 HTTP 請(qǐng)求,從而導(dǎo)致 DoS。
  • CVE-2024-7203:驗(yàn)證后命令注入允許通過偽造的 CLI 命令執(zhí)行操作系統(tǒng)命令。
  • CVE-2024-42057:在 IPSec VPN 中的指令注入,允許未認(rèn)證的攻擊者在「使用者為本-PSK」模式下,利用偽造的長使用者名稱執(zhí)行作業(yè)系統(tǒng)指令。
  • CVE-2024-42058:取消引用空指針可通過未認(rèn)證攻擊者發(fā)送的偽造數(shù)據(jù)包導(dǎo)致 DoS。
  • CVE-2024-42059:身份驗(yàn)證后命令注入允許身份驗(yàn)證的管理員通過 FTP 上傳偽造的壓縮語言文件執(zhí)行操作系統(tǒng)命令。
  • CVE-2024-42060: 認(rèn)證後指令注入漏洞,令已認(rèn)證的管理員可透過上載精心製作的內(nèi)部使用者協(xié)議檔案,執(zhí)行作業(yè)系統(tǒng)指令。
  • CVE-2024-42061:dynamic_script.cgi "中的反射 XSS 允許攻擊者誘騙用戶訪問偽造的 URL,從而可能泄漏基于瀏覽器的信息。

上述漏洞中 CVE-2024-42057 值得特別關(guān)注 ,它是 IPSec VPN 功能中的命令注入漏洞,無需驗(yàn)證即可被遠(yuǎn)程利用。

利用漏洞所需的特定配置要求會(huì)降低其嚴(yán)重性,包括在基于用戶的 PSK 身份驗(yàn)證模式下配置設(shè)備,以及用戶的用戶用戶名長度超過 28 個(gè)字符。

圖源:Zyxel 官網(wǎng)

有關(guān)其他受影響的防火墻更多詳細(xì)信息,可具體查看 Zyxel 公告。

責(zé)任編輯:趙寧寧 來源: FreeBuf
漏洞網(wǎng)絡(luò)攻擊
相關(guān)推薦

2015-01-12 11:05:40

路由器漏洞華碩路由器

2020-10-15 12:24:46

Linux漏洞攻擊

2016-08-10 20:26:13

2024-05-29 13:38:02

2014-10-31 09:46:25

FTP遠(yuǎn)程執(zhí)行漏洞安全漏洞

2023-06-05 11:56:57

2023-11-10 11:36:44

2015-03-04 11:06:13

2014-10-30 14:02:26

LinuxFTP漏洞

2023-08-11 12:41:23

2024-06-12 14:07:21

2015-05-21 15:04:44

2024-05-07 16:38:25

2010-08-18 10:48:07

2015-10-12 11:11:56

2014-10-11 11:44:02

2014-12-23 13:32:00

2023-09-21 22:34:56

2024-05-21 13:09:55

2021-08-10 08:22:21

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)