Zyxel, NAS cihazlarında RCE zafiyetine izin veren kritik zafiyetler hakkında bilgilendirme yaptı.
Zafiyet, NAS326 5.21(AAZF.14)C0 ve daha eski sürümleri, NAS542 5.21(ABAG.11)C0 ve daha eski sürümleri etkiliyor.
CVE-2023-35137: Zafiyet kimlik doğrulama modülünde bulunuyor, sistem bilgisi elde etmek için düzenlenmiş URL kullanılıyor. 7.5 gibi yüksek seviyeli bir güvenlik skoruna sahip.
CVE-2023-35138: Zyxel NAS cihazlarında “show_zysync_server_contents” fonksiyonunda komut enjeksiyonuna izin veriyor. Güvenlik açığı 9.8 skoruna sahip.
CVE-2023-37927: Zafiyet, CGI programındaki güvenlik açığından kaynaklanıyor, saldırganlar özel olarak düzenlenmiş bir URL aracılığıyla işletim sistemi üzerinde komut çalıştırabiliyor. Bu güvenlik açığı, 8.8 gibi yüksek seviyeli bir skora sahip.
CVE-2023-37928: Zafiyet, komut enjeksiyonuna izin veriyor, aldırganlar özel olarak düzenlenmiş bir URL aracılığıyla işletim sistemi üzerinde komut çalıştırabiliyor. Bu güvenlik açığı 8.8 skora sahip.
CVE-2023-4473: web sunucusu üzerinde komut enjeksiyonuna izin veriyor. Saldırganlar özel olarak düzenlenmiş bir URL aracılığıyla işletim sistemi üzerinde komut çalıştırabiliyor. Bu kritik güvenlik açığı 9.8 skoruna sahip.
CVE-2023-4474: Zafiyet, WSGI sunucusunu üzerindeki güvenlik açığından kaynaklanmakta. Saldırganlar özel olarak düzenlenmiş bir URL aracılığıyla işletim sistemi üzerinde komut çalıştırabiliyor.. Bu kritik güvenlik açığı 9.8 skoruna sahip.
Zafiyetleri kapatmak için NAS326 kullanıcıları V5.21(AAZF.15)C0 veya daha sonraki sürüme yükseltmeleri öneriliyor. NAS542 kullanıcıları ise V5.21(ABAG.12)C0 veya daha sonraki firmware’e yükseltmelidir.