【漏洞通告】Zyxel NAS设备命令注入漏洞（CVE-2024-6342）

文章预览

一、漏洞 概述 漏洞名称 Zyxel NAS设备命令注入漏洞 CVE   ID CVE-2024-6342 漏洞类型 命令注入 发现时间 2024-09-10 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 合勤科技（ZyXEL）是国际著名的网络宽带系统及解决方案供应商。 2024年9月10日，启明星辰集团VSRC监测到 Zyxel发布安全公告，修复了其NAS设备中的一个命令注入漏洞（CVE-2024-6342），该漏洞的CVSS评分为9.8。 Zyxel NAS326和NAS542设备的export-cgi 程序中存在命令注入漏洞，未经身份验证的威胁者可通过发送恶意设计的HTTP POST 请求来远程执行系统命令，从而可能查看系统文件、修改系统配置、获取敏感信息并执行其他未授权操作。 二、影响范围 受影响产品型号 受影响版本 修复版本 Zyxel  NAS326 V5.21(AAZF.18)C0及之前版本 V5.21(AAZF.18)Hotfix-01 Zyxel   ………………………………