9VSA23-00939-01 CSIRT comparte información de nuevas vulnerabilidades que afectan a dispositivos Zyxel NAS
El CSIRT de Gobierno comparte información de nuevas vulnerabilidades que afectan a los aparatos NAS de Zyxel.
Resumen
El CSIRT de Gobierno comparte información de nuevas vulnerabilidades que afectan a los aparatos NAS de Zyxel.
Vulnerabilidades
Impacto
Vulnerabilidades de riesgo crítico:
CVE-2023-35138: Vulnerabilidad de inyección de comandos en la función “show_zysync_server_contents" en dispositivos Zyxel NAS, permitiendo a atacantes no autenticados obtener información del sistema a través de una URL especialmente diseñada. CVSS: 9.8.
CVE-2023-4473: Vulnerabilidad de inyección de comandos en el web server de dispositivos Zyxel NAS, permitiendo a atacantes no autenticados ejecutar comandos OS a través de una URL especialmente diseñada. CVSS: 9.8.
CVE-2023-4474: Vulnerabilidad en el servidor WSGI de dispositivos Zyxel NAS, permitiendo a atacantes no autenticados ejecutar comandos OS a través de una URL especialmente diseñada. CVSS: 9.8.
Mitigación
Actualizar los sistemas afectados con sus respectivos parches de seguridad:
Modelo NAS326, versiones V5.21(AAZF.14)C0 y anteriores: https://www.zyxel.com/global/en/support/download?model=nas326
Modelo NAS542, versiones V5.21(ABAG.11)C0 y anteriores:
https://download.zyxel.com/NAS542/firmware/521ABAG12C0.zip
Productos afectados
NAS326, versiones V5.21(AAZF.14)C0 y anteriores.
NAS542, versiones V5.21(ABAG.11)C0 y anteriores.
Enlaces
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH23-00912-01.