Тайваньский производитель Zyxel известен своими сетевыми устройствами, в том числе сетевыми хранилищами. Недавно в них было обнаружено шесть уязвимостей, для которых выпущены патчи.
Посредством этих уязвимостей можно обходить протоколы идентификации и внедрять вредоносный код в операционную систему NAS. Пользователям рекомендуется поставить обновления как можно быстрее.
Среди уязвимостей три относятся к критическим. Первая CVE-2023-35137 имеет степень серьёзности 7,5 и относится к неправильной аутентификации, позволяя злоумышленникам получать системную информацию посредством адреса-URL.
CVE-2023-35138 со степенью опасности 9,8 находится в функции «show_zysync_server_contents» и позволяет осуществлять выполнение некоторых команд при отправке HTTP-запроса POST. CVE-2023-37927 уровнем 8,8 также позволяет выполнять системные команды при помощи созданного для этого URL-адреса.
CVE-2023-37928 относится к внедрению команд после аутентификации на сервере WSGI и получила уровень 8,8. Она также позволяет выполнять команды ОС при использовании вредоносного URL-адреса. CVE-2023-4473 с оценкой 9,8 применяется таким же способом. Последняя уязвимость CVE-2023-4474 также получила степень 9,8 и она возникает по причине неправильной нейтрализации специальных элементов на сервере WSGI.
Обладателям устройств Zyxel следует поставить патчи V5.21(AAZF.15)C0 для NAS326 и V5.21(ABAG.12)C0 для NAS542.
