28.05.2022 | Zyxel предупредила о множественных уязвимостях в своих продуктах |
Компания Zyxel опубликовала обновление безопасности для администраторов, предупреждающее о множественных уязвимостях в межсетевых экранах, токах доступа и контроллерах точек доступа своего производства. Хотя уязвимости не являются критическими, они все равно представляют угрозу как сами по себе, так и в связке с другими уязвимостями. CVE-2022-0734 – межсайтовый скриптинг (XSS) в компоненте CGI. Уязвимость позволяет с помощью скрипта для похищения данных перехватывать хранящиеся в браузере файлы cookie и токены сеанса. CVE-2022-26531 – недостаточная проверка вводимых данных в некоторых командах CLI. Уязвимость позволяет локальному авторизованному злоумышленнику вызвать переполнения буфера или аварийное завершение работы системы. CVE-2022-2653 – внедрение команд в некоторых командах CLI. Уязвимость позволяет локальному авторизованному злоумышленнику выполнять произвольные команды на ОС. CVE-2022-0910 – обход аутентификации в компоненте CGI. Уязвимость позволяет злоумышленнику отключить двухфакторную аутентификацию через клиент IPsec VPN. Уязвимости затрагивают межсетевые экраны USG/ZyWALL, USG FLEX, ATP, VPN, NSG, контроллеры точек доступа NXC2500 и NXC5500, а также различные точки доступа, включая модели серий NAP, NWA, WAC и WAX. Производитель выпустил обновления безопасности для большинства затронутых моделей. Однако срочные исправления для контроллеров точек доступа не являются общедоступными, и администраторы должны запрашивать их у своих местных представителей Zyxel. Что касается межсетевых экранов, то для USG/ZyWALL выпущена новая версия прошивки 4.72. USG FLEX, ATP и VPN должны быть обновлены до версии ZLD 5.30, а продукты NSG получили исправление через v1.33 патч 5. |
Проверить безопасность сайта