一、漏洞分析
1.1
组件介绍
Zyxel-NAS
是指由
Zyxel Communications Corporation
(赛锐尔
通讯公司)开发和生产的网络附加存储(
Network Attached Storage
,
简称
NAS
)设备。
NAS
是一种专门用于存储和共享文件的设备,它
通过网络连接到计算机、服务器或其他设备,提供集中式的文件存储
和访问功能。
1.2
漏洞描述
2024
年
6
月
6
日,深瞳漏洞实验室监测到一则
Zyxel-NAS
组件
存在代码注入漏洞的信息,漏洞编号:
CVE-2024-29974
,漏洞威胁等
级:严重。
V5.21(AAZF.17)C0
之前的
Zyxel NAS326
固件版本和
V5.21(AB
AG.14)C0
之前的
NAS542
固件版本中的
CGI
程序“
file_upload-cgi"
中存在远程代码执行漏洞,允许未经身份验证的攻击者上传恶意文
件,执行任意代码导致服务器失陷。
二、影响范围
目前受影响的
Zyxel-NAS
版本:
Zyxel NAS326 < V5.21(AAZF.17)C0
Zyxel NAS542 < V5.21(ABAG.14)C0
三、解决方案
3.1
修复建议
1.
官方修复建议
供应商已发布了漏洞补丁,受影响客户可以将
Zyxel NAS
升级到
以下版本:
NAS326
设备:升级到
V5.21(AAZF.17)C0
NAS542
设备:升级到
V5.21(ABAG.14)C0
下载链接:
https://www.zyxel.com/global/en/support/download
