【漏洞通告】Zyxel NAS设备远程代码执行漏洞（CVE-2024-29974）

文章预览

一、漏洞 概述 漏洞名称 Zyxel NAS设备远程代码执行漏洞 CVE   ID CVE-2024-29974 漏洞类型 RCE 发现时间 2024-06-04 漏洞评分 9.8 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 未发现 合勤科技（ZyXEL）是国际知名的网络宽带系统及解决方案供应商。 2024年6月4日，启明星辰集团VSRC监测到Zyxel NAS设备中修复了多个漏洞，目前这些漏洞的技术细节及部分PoC已公开，详情如下： CVE-2024-29972 ：Zyxel NAS设备命令注入漏洞 Zyxel NAS326 和 NAS542 设备中的CGI 程序remote_help-cgi中存在命令注入漏洞，可能导致未经身份验证的威胁者通过发送恶意设计的 HTTP请求执行某些系统命令。 CVE-2024-29973 ：Zyxel NAS设备命令注入漏洞 Zyxel NAS326 和 NAS542 设备中的setCookie参数中存在命令注入漏洞，可能导致未经身份验证的威胁者发送恶意设计的HTTP POST 请 ………………………………