Zyxel緊急修補NAS重大漏洞( CVE-2023-27992) 一、 摘要 Zyxel的NAS被發現有編號CVE-2023-27992的漏洞,屬於授權前指令注入漏洞,並於官網發出安全公告,請各位使用者儘快更新。 二 、存在風險 Zyxel的NAS 設備中的預設身份驗證的OS command injection 漏洞,可允許未經身份驗證的攻擊者通過發送惡意的 HTTP 請求,讓其能在NAS裝置OS上遠端執行指令。漏洞風險值達9.8。 其引響範圍如下: Affected model Affected version Patch availability NAS326 V5.21(AAZF.13)C0 and earlier V5.21(AAZF.14)C0 NAS540 V5.21(AATB.10)C0 and earlier V5.21(AATB.11)C0 NAS542 V5.21(ABAG.10)C0 and earlier V5.21(ABAG.11)C0 建議改善措施:將Zyxel產品更新至新版 韌體 。 情資報告連結: https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-pre-authentication-command-injection-vulnerability-in-nas-products