Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. 

Sintesi

Zyxel rilascia aggiornamenti di sicurezza per sanare una vulnerabilità presente in alcuni dispositivi NAS.

Tipologia

• Arbitrary Code Execution

Prodotti e/o versioni affette

Zyxel

• NAS326, versione 5.21 (AAZF.15) C0 e precedenti
• NAS542, versione 5.21 (ABAG.12) C0 e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2023-5372

Riferimenti

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-command-injection-vulnerability-in-nas-products-01-30-2024

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.