详细内容或原文请订阅后点击阅览
合勤科技没有放弃旧NAS:新补丁一次消除三个漏洞
尽快更新您的网络存储 - 漏洞已经落入黑客手中。
来源:安全实验室新闻频道尽快更新您的网络存储 - 漏洞已经落入黑客手中。
Zyxel 发布了紧急安全更新,以解决支持已过期的旧型号 NAS 设备中的三个关键漏洞。
合勤科技 已发布紧急安全更新 网络存储这些漏洞影响固件版本 5.21(AAZF.16)C0 及更早版本的 NAS326 型号,以及固件版本 5.21(ABAG.13)C0 及更早版本的 NAS542。
这些漏洞允许攻击者执行命令注入和远程代码执行。然而,这些设备中还没有解决另外两个权限升级和信息泄露漏洞。谁知道呢,也许公司稍后会解决这些问题。
Timothy Hjort 是 Outpost24 的安全研究员,发现并报告了 Zyxel 中的所有五个漏洞。昨天,即 6 月 4 日,Hjorth 与 Zyxel 合作发布了 PoC 漏洞的详细报告和演示。
详细报告已修补的漏洞包括:
- CVE-2024-29972。 CGI 程序中的命令注入漏洞(“remote_help-cgi”)允许未经身份验证的攻击者发送特制的 HTTP POST 请求,以使用具有 root 权限的 NsaRescueAngel 帐户执行操作系统命令。 CVE-2024-29973。 “setCookie”参数中的命令注入漏洞允许攻击者发送特制的 HTTP POST 请求来执行系统命令。 CVE-2024-29974。 CGI程序(“file_upload-cgi”)中存在远程代码执行错误,允许未经身份验证的攻击者将恶意配置文件上传到设备。