合勤(Zyxel)本周发布安全公告,以修补一个风险值9.8的安全漏洞。
合勤这次修补的漏洞编号CVE-2023-27992,位于该公司部分网络附加存储(Network-Attached Storage,NAS)系统,属于授权前指令注入漏洞。这个漏洞可让未经验证的攻击者发送恶意HTTP调用,而在NAS设备OS上远程执行指令。漏洞风险值达9.8。
受到CVE-2023-27992影响的产品包括NAS326、NAS540及NAS542。合勤已经发布更新版固件解决问题,也呼吁用户尽快更新。
本项漏洞分别由安全研究人员Andrej Zaujec及Maxim Suslov,以及芬兰国家网络安全中心(National Cyber Security Center,NCSC-FI)通报企业。
这项漏洞是合勤二个月以来第二次发布修补程序。合勤5月底才修补了防火墙/VPN设备的多项漏洞,包括已经遭Mirai滥用的CVE-2023-28771。
