ГлавнаяБаза уязвимостей БДУ → BDU:2020-01128
10критическая

BDU:2020-01128 (CVE-2020-9054)

Уязвимость компонента weblogin.cgi систем хранения NAS (Network Attached Storage) и микропрограммного обеспечения межсетевых экранов серий UTM, ATP и VPN, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-03-20
Описание

Уязвимость компонента weblogin.cgi систем хранения NAS (Network Attached Storage) и микропрограммного обеспечения межсетевых экранов серий UTM, ATP и VPN связана с ошибками при проверке параметра username. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с правами пользователя root в целевой системе посредством отправки специально сформированного HTTP-запроса

Затрагиваемое ПО и версии
NAS326 (до 5.21(AAZF.7)C0)NAS520 (до 5.21(AASZ.3)C0)NAS540 (до 5.21(AATB.4)C0)NAS542 (до 5.21(ABAG.4)C0)ATP100 (до 4.35(ABPS.3)C0)ATP200 (до 4.35(ABFW.3)C0)ATP500 (до 4.35(ABFU.3)C0)ATP800 (до 4.35(ABIQ.3)C0)USG20-VPN (до 4.35(ABAQ.3)C0)USG20W-VPN (до 4.35(ABAR.3)C0)USG40 (до 4.35(AALA.3)C0)USG40W (до 4.35(AALB.3)C0)USG60 (до 4.35(AAKY.3)C0)USG60W (до 4.35(AAKZ.3)C0)USG110 (до 4.35(AAPH.3)C0)USG210 (до 4.35(AAPI.3)C0)USG310 (до 4.35(AAPJ.3)C0)USG1100 (до 4.35(AAPK.3)C0)USG1900 (до 4.35(AAPL.3)C0)USG2200 (до 4.35(ABAE.3)C0)VPN50 (до 4.35(ABHL.3)C0)VPN100 (до 4.35(ABFV.3)C0)VPN300 (до 4.35(ABFC.3)C0)VPN1000 (до 4.35(ABIP.3)C0)ZyWALL 110 (до 4.35(AAAA.3)C0)ZyWALL 310 (до 4.35(AAAB.3)C0)ZyWALL 1100 (до 4.35(AAAC.3)C0)
Способ устранения

Использование рекомендаций:
https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://securitylab.ru/vulnerability/505363.phphttps://nvd.nist.gov/vuln/detail/CVE-2020-9054https://krebsonsecurity.com/2020/02/zyxel-fixes-0day-in-network-storage-devices/https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml
Проверьте безопасность своего сайта и почты → Полная проверка домена