CVE-2023-27992

CVSS 9.8 CRITICALEPSS 84.3%● KEVCWE-78

Em resumo

Uma falha em dispositivos Zyxel NAS permite que qualquer pessoa na rede execute comandos prejudiciais no dispositivo sem precisar de senha, enviando uma solicitação web especialmente preparada. Isso pode levar ao compromisso total do dispositivo e roubo de dados.

Detalhe técnico

Injeção de comando pré-autenticação em dispositivos Zyxel NAS326, NAS540 e NAS542 permite que atacantes não autenticados executem comandos arbitrários do sistema operacional através de requisições HTTP artesanais. A vulnerabilidade afeta versões de firmware anteriores aos patches específicos e não requer autenticação prévia, resultando em comprometimento completo do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.

The pre-authentication command injection vulnerability in the Zyxel NAS326 firmware versions prior to V5.21(AAZF.14)C0, NAS540 firmware versions prior to V5.21(AATB.11)C0, and NAS542 firmware versions prior to V5.21(ABAG.11)C0 could allow an unauthenticated attacker to execute some operating system (OS) commands remotely by sending a crafted HTTP request.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

Zyxel · NAS326 firmware Zyxel · NAS540 firmware Zyxel · NAS542 firmware

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-27992 https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-pre-authentication-command-injection-vulnerability-in-nas-products