10критическая
BDU:2020-01128 (CVE-2020-9054)
Уязвимость компонента weblogin.cgi систем хранения NAS (Network Attached Storage) и микропрограммного обеспечения межсетевых экранов серий UTM, ATP и VPN, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-03-20
Описание
Уязвимость компонента weblogin.cgi систем хранения NAS (Network Attached Storage) и микропрограммного обеспечения межсетевых экранов серий UTM, ATP и VPN связана с ошибками при проверке параметра username. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с правами пользователя root в целевой системе посредством отправки специально сформированного HTTP-запроса
Затрагиваемое ПО и версии
NAS326 (до 5.21(AAZF.7)C0)NAS520 (до 5.21(AASZ.3)C0)NAS540 (до 5.21(AATB.4)C0)NAS542 (до 5.21(ABAG.4)C0)ATP100 (до 4.35(ABPS.3)C0)ATP200 (до 4.35(ABFW.3)C0)ATP500 (до 4.35(ABFU.3)C0)ATP800 (до 4.35(ABIQ.3)C0)USG20-VPN (до 4.35(ABAQ.3)C0)USG20W-VPN (до 4.35(ABAR.3)C0)USG40 (до 4.35(AALA.3)C0)USG40W (до 4.35(AALB.3)C0)USG60 (до 4.35(AAKY.3)C0)USG60W (до 4.35(AAKZ.3)C0)USG110 (до 4.35(AAPH.3)C0)USG210 (до 4.35(AAPI.3)C0)USG310 (до 4.35(AAPJ.3)C0)USG1100 (до 4.35(AAPK.3)C0)USG1900 (до 4.35(AAPL.3)C0)USG2200 (до 4.35(ABAE.3)C0)VPN50 (до 4.35(ABHL.3)C0)VPN100 (до 4.35(ABFV.3)C0)VPN300 (до 4.35(ABFC.3)C0)VPN1000 (до 4.35(ABIP.3)C0)ZyWALL 110 (до 4.35(AAAA.3)C0)ZyWALL 310 (до 4.35(AAAB.3)C0)ZyWALL 1100 (до 4.35(AAAC.3)C0)
Способ устранения
Использование рекомендаций:
https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи