CRITICAL✓ PATCH🇬🇧 English

CVE-2024-6342

Command injection w Zyxel NAS326/NAS542 — zdalne wykonanie poleceń OS

CVSS 9.8v3.1pub. 2024-09-10upd. 2025-01-22

Podatność typu command injection w programie export-cgi oprogramowania Zyxel NAS326 i NAS542 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie poleceń systemu operacyjnego. Wysoka ocena CVSS 9.8 (CRITICAL) wynika z braku wymogu uwierzytelnienia i pełnego wpływu na poufność, integralność oraz dostępność systemu.

Pokaż oryginał (EN)

**UNSUPPORTED WHEN ASSIGNED** A command injection vulnerability in the export-cgi program of Zyxel NAS326 firmware versions through V5.21(AAZF.18)C0 and NAS542 firmware versions through V5.21(ABAG.15)C0 could allow an unauthenticated attacker to execute some operating system (OS) commands by sending a crafted HTTP POST request.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie HTTP POST do podatnego programu export-cgi na urządzeniu NAS. Program nieprawidłowo przetwarza dane wejściowe, co pozwala na wstrzyknięcie i wykonanie dowolnych poleceń systemu operacyjnego (OS). Atak może być przeprowadzony zdalnie przez sieć bez konieczności posiadania jakichkolwiek poświadczeń.

Skutki

Atakujący może wykonać dowolne polecenia systemu operacyjnego na zaatakowanym urządzeniu NAS, co w praktyce oznacza pełne przejęcie kontroli nad urządzeniem — włącznie z dostępem do przechowywanych danych, modyfikacją konfiguracji lub całkowitym unieruchomieniem urządzenia.

Mitygacja

Produkty Zyxel NAS326 i NAS542 są oficjalnie nieobsługiwane przez producenta. Należy jak najszybciej wycofać urządzenia z użytku lub odizolować je od sieci zewnętrznych. W przypadku konieczności dalszego użytkowania — ograniczyć dostęp do interfejsu zarządzania wyłącznie do zaufanych adresów IP oraz monitorować nieoczekiwany ruch HTTP. Szczegóły dostępne w komunikacie bezpieczeństwa Zyxel z dnia 2024-09-10.

Kogo dotyczy

Zyxel NAS326 z firmware w wersjach do V5.21(AAZF.18)C0 włącznie oraz Zyxel NAS542 z firmware w wersjach do V5.21(ABAG.15)C0 włącznie. Należy zaznaczyć, że produkty te były oznaczone jako nieobsługiwane (UNSUPPORTED) w momencie przypisania CVE.

Uwagi

Producent oznaczył podatność jako dotyczącą produktów już nieobsługiwanych (UNSUPPORTED WHEN ASSIGNED) — brak oficjalnych patchy. Zalecana natychmiastowa wymiana lub pełna izolacja urządzeń.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Zyxel Nas326

    HW
    Zyxel
    wszystkie wersje
  • Zyxel Nas326 Firmware

    OS
    Zyxel
    5.21\(aazf.18\)c0< 5.21\(aazf.18\)c0
  • Zyxel Nas542

    HW
    Zyxel
    wszystkie wersje
  • Zyxel Nas542 Firmware

    OS
    Zyxel
    5.21\(abag.15\)c0< 5.21\(abag.15\)c0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2023-27992CRITICAL9.8⚠ KEVten sam produkt

The pre-authentication command injection vulnerability in the Zyxel NAS326 firmware versions prior to V5.21(AA...

CVE-2020-9054CRITICAL9.8⚠ KEVten sam produkt

Multiple ZyXEL network-attached storage (NAS) devices running firmware version 5.21 contain a pre-authenticati...

CVE-2024-29973CRITICAL9.8PL ✓ten sam produkt

Command injection w parametrze setCookie urządzeń Zyxel NAS326/NAS542

CVE-2024-29972CRITICAL9.8PL ✓ten sam produkt

Command injection w Zyxel NAS326/NAS542 — nieuwierzytelnione RCE

CVE-2024-29974CRITICAL9.8PL ✓ten sam produkt

RCE w Zyxel NAS326/NAS542 — nieuwierzytelnione wykonanie kodu przez upload pliku